Ein Ransomware-Angriff ist im Gange. Der Bedrohungsakteur hat sich zunächst Zugang zu einem Endpunkt verschafft und dort bösartigen Code ausgeführt. Was den Bedrohungsakteur anbelangt, so läuft alles gut. Die nächste Phase ist jedoch entscheidend für den Erfolg eines Ransomware-Angriffs. Ohne die Möglichkeit, sich in der gesamten Umgebung auszubreiten und alle Systeme zu verschlüsseln oder zu sperren, ist es unwahrscheinlich, dass Bedrohungsakteure in der Lage sind, eine Organisation zu Zahlungen zu erpressen.
Um möglichst viele Endgeräte und möglichst große Teile der Umgebung eines Ziels zu infizieren, verteilt der Bedrohungsakteur ausführbare Dateien und Tools innerhalb der Zielumgebung durch Lateral Tool Transfer. Durch die Verwendung öffentlicher Dateifreigabetools wie Dropbox oder systemeigener Tools wie dem FTP-Dienstprogramm (File Transfer Protocol) verteilt der Bedrohungspaket sein Angriffspaket in der gesamten Umgebung und infiziert dabei Endgeräte und Server, während er gleichzeitig – als Bonus – seine Bewegungen verschleiert.
Das ist laterale Bewegung in Aktion.
Dies ist entscheidend für den Erfolg eines größeren Cyberangriffs, Ransomware oder eine andere Form, und wenn es erst einmal passiert ist, wird der Angriff schwieriger zu erkennen und zu stoppen. Zu verstehen, was laterale Bewegungen sind, wie sie ablaufen und wie sie verhindert werden können, ist entscheidend für die Cybersicherheit eines Unternehmens in der heutigen wachsenden Bedrohungslandschaft, in der Bedrohungsakteure jedes verfügbare Tool nutzen, um in das Netzwerk eines Unternehmens einzudringen und Schaden anzurichten.
Was ist laterale Bewegung?
Eine laterale Bewegung tritt auf, wenn sich ein Bedrohungsakteur durch eine kompromittierte Umgebung bewegt und dabei häufig neue Zugriffs- und Benutzerrechte erlangt. Es handelt sich in der Regel um eine spätere Phase eines Sicherheitsvorfalls, die auftritt, nachdem der erste Zugriff über den Ausgangspunkt der Kompromittierung erlangt wurde, und oft, nachdem die Persistenz in der Umgebung aufrechterhalten wurde, die Rechte erweitert und die Verteidigungsmaßnahmen umgangen wurden.
Sobald die laterale Bewegung begonnen hat, kann der Bedrohungsakteur genügend Zugriff auf Endpunkte, Netzwerke und Server sammeln, um einen Ransomware-Angriff zu starten, Daten zu exfiltrieren, die für zukünftige Angriffe verwendet oder im Darknet verkauft werden können, geistiges Eigentum zu stehlen oder als Advanced Persistent Threat (APT) im System zu verbleiben, um Informationen zu sammeln und auf den perfekten Zeitpunkt für einen Angriff zu warten.
Wie die laterale Bewegung funktioniert
Bedrohungsakteure nutzen bestehendes Vertrauen in Benutzerkonten und -zugänge oder bestehende Schwachstellen aus, die eine Organisation noch nicht entschärft hat.
Zu den gängigen Techniken und Verfahren der lateralen Bewegung gehören:
1. Nutzung des Remote Desktop Protocol (RDP): Angreifer nutzen RDP häufig, um mit gültigen Anmeldedaten auf andere Systeme zuzugreifen. RDP bietet eine grafische Benutzeroberfläche für Remote-Management und ist damit eine attraktive Option für laterale Bewegung.
2. Ausnutzung der Windows-Verwaltungsinstrumentierung (WMI): WMI ist ein leistungsstarkes Management-Framework in Windows, das Angreifer ausnutzen können, um Befehle oder Skripte auf entfernten Systemen auszuführen, ohne eine direkte Verbindung herstellen zu müssen.
3. PsExec verwenden: Dieses Sysinternals-Tool ermöglicht Angreifern die Ausführung von Prozessen auf entfernten Systemen, wodurch laterale Bewegungen erleichtert werden, indem Befehle oder Skripte auf Zielmaschinen gestartet werden.
4. Zugriff auf SSH: In Umgebungen mit Linux- oder Unix-Systemen wird in der Regel Secure Shell (SSH) für die Fernverwaltung verwendet. Angreifer können gestohlene Anmeldedaten verwenden, um direkt auf diese Systeme zuzugreifen.
5. Lateral Tool Transfer: Diese Technik erleichtert die weitere Ausnutzung, z. B. die Bereitstellung zusätzlicher Nutzdaten oder die Ausführung von Skripten auf anderen Computern, und hilft den Bedrohungsakteuren, eine Entdeckung zu vermeiden und die Kontrolle über mehrere Systeme zu behalten.
6. Ferngesteuertes Hijacking: Nach dem anfänglichen Eindringen in eine Zielumgebung nutzen Bedrohungsakteure Schwachstellen oder erbeutete Anmeldeinformationen aus, um aus der Ferne auf weitere Endgeräte zuzugreifen. Auf diese Weise können sie dann Tools bereitstellen, Befehle ausführen oder Malware installieren.
7. Internes Spear-Phishing: Diese Social-Engineering-Technik ermöglicht es Bedrohungsakteuren, eine laterale Bewegung auszuführen, indem sie sich als Kollegen oder Führungskräfte eines Unternehmens ausgeben, E-Mails senden, in denen sie vertrauliche Informationen und Zugangsdaten anfordern, oder das Opfer dazu bringen, auf einen bösartigen Link zu klicken, der ihnen tiefergehenden Zugang gewährt.
8. Nutzung von Anwendungszugriffstoken: Diese Token werden zur Authentifizierung von Benutzern und zur Gewährung des Zugangs zu Anwendungen verwendet. Bedrohungsakteure stehlen sie mit Tools wie Mimikatz, mit denen sie sich als autorisierte Benutzer ausgeben können.
Diese Liste erhebt keinen Anspruch auf Vollständigkeit, soll aber aufzeigen, wie ein Angreifer seinen Zugang zu einer Zielumgebung durch laterale Bewegung auf unzählige Arten erweitern kann. Es hängt alles davon ab, welche Werkzeuge ihnen zur Verfügung stehen, worauf sie Zugriff haben und welches Verfahren am effizientesten ist und den größten Schutz bietet, damit sie von der Cybersecurity-Architektur des Unternehmens nicht entdeckt werden.
Warum verwenden Bedrohungsakteure laterale Bewegungen?
Ein Hauptgrund, warum Bedrohungsakteure laterale Bewegung nutzen, ist, dass es für Organisationen schwierig sein kann, sie zu erkennen, sobald sie stattfindet.
Die laterale Bewegung nutzt den so genannten “Ost/West”-Verkehr, der innerhalb eines Netzes oft als normal angesehen wird. Ein Benutzer ruft vielleicht seine E-Mails ab, meldet sich dann bei einer cloudbasierten Anwendung an und sieht sich dann vielleicht bestimmte Ressourcen an usw. Der “Nord/Süd”-Verkehr, d. h. der Verkehr, der in das Netzwerk hinein und aus dem Netzwerk heraus fließt, wird jedoch höchstwahrscheinlich von Firewalls und Endgerät-Erkennungstools erkannt.
Sobald sich der Bedrohungsakteur in einer Zielumgebung befindet, kann er den “Ost/West”-Verkehr der seitlichen Bewegung nutzen, um seinen Zugang unbemerkt zu erweitern. Wären Cyberangriffe Filme über Raubüberfällen wären, wäre die laterale Bewegung die Szene, in der der Dieb den Ausweis eines Kasinomitarbeiters klaut, um sich auf dem Weg zum Tresorraum durch die hinteren Gänge zu bewegen.
laterale Bewegung ist nicht dasselbe wie Berechtigungserweiterung. Rechteerweiterung verläuft häufig von “Nord” nach “Süd” und bezieht sich ausschließlich auf den Umfang des Zugriffs, den ein Benutzer auf eine Anwendung, ein Asset oder ein Netzwerk hat, und wie sich dieser Zugriff erweitert. Im Verlauf eines Angriffs kann ein Bedrohungsakteur Anmeldeinformationen erlangen und seine Rechte ausweiten, um Zugang zu einem anderen Teil der Umgebung zu erhalten, aber das ist an sich keine laterale Bewegung.
Erkennen und Verhindern von lateraler Bewegung
Eine wichtige Verteidigungsmaßnahme gegen laterale Bewegungen besteht darin, den Angriff proaktiv zu identifizieren und einzudämmen, bevor laterale Bewegungen stattfinden. Dies kann jedoch aus verschiedenen Gründen schwierig sein, u. a. wegen der schieren Menge der ursprünglichen Zugangspunkte, die ein Angreifer nutzen könnte. Außerdem hat sich die Verweildauer – die Zeit, die ein Angreifer in einem Netzwerk verbringt, bevor er aktiv wird – von Jahr zu Jahr verkürzt, was bedeutet, dass Sicherheitsteams weniger Zeit und Möglichkeiten haben, ihn zu erkennen und zu stoppen.
Die Zeitspanne, bevor eine laterale Bewegung stattfindet, wird als “Breakout-Zeit” bezeichnet. Wenn ein Angriff innerhalb dieses Zeitfensters gestoppt werden kann, reduziert dies Kosten, Auswirkungen und mögliche Geschäftsunterbrechungen oder Ausfallzeiten. Sie kann auch den Unterschied zwischen einem Cybervorfall und einem erfolgreichen Cyberangriff ausmachen.
Es gibt zwei Hauptmethoden, um laterale Bewegung zu verhindern:
Echtzeit-Überwachung der Umgebung
Fortschrittliche Überwachungslösungen, wie Managed Detection and Response (MDR), können ungewöhnliche Benutzeraktivitäten, Regeländerungen innerhalb von Anwendungen oder plötzliche Bewegungen eines einzelnen Benutzers in der Umgebung erkennen. Ein Unternehmen mit MDR kann diese Aktivität überwachen und sie den oben genannten Techniken zuordnen, um Verhaltensmuster zu erkennen, die einer lateralen Bewegung ähneln.
Verhaltensanalyse
An dieser Stelle wird aus der Überwachung eine Untersuchung. Es ist eine Sache, zu sehen, dass “der Benutzer zuerst x, dann y und dann z gemacht hat”, und eine andere, dass Software- und menschliche Analysten feststellen, dass dieses Verhalten verdächtig sein oder mit gängigen Techniken von lateraler Bewegung übereinstimmen könnte.
Die Verhinderung lateraler Bewegungen ist ein wesentlicher Bestandteil der Cybersecurity. Ein Bedrohungsakteur will nicht entdeckt werden und will effizient arbeiten. Wenn Angreifer sich in der Umgebung nicht bewegen können, schränkt dies ihre Bewegungsfreiheit ein und mindert die Auswirkungen des Vorfalls. Beispielsweise können gestohlene Zugangsdaten, die in einer Umgebung nur schwer zu nutzen sind, den Angreifer davon abhalten, weiterzumachen, vor allem, wenn die Wahrscheinlichkeit, entdeckt zu werden, dadurch steigt und es andere Organisationen gibt, die er angreifen kann.
Zu diesen Präventionsmaßnahmen gehören:
- Nutzung der Netzwerkisolierung und Netzwerksegmentierung. Dadurch werden Teile des Netzes voneinander abgeschnitten, was einen Bedrohungsakteur daran hindert, seinen Aktionsradius zu erweitern oder sich in einem Teil des Netzwerks zu bewegen.
- Einsatz von Vulnerability Management. Bedrohungsakteure nutzen Schwachstellen häufig nicht nur für den Erstzugriff, sondern auch für laterale Bewegungen, um auf verschiedene Anwendungen zuzugreifen. Richtiges Patching und ein robustes Vulnerability Management-Programm schließen diese Lücken, bevor sie ausgenutzt werden.
- Umsetzung von Zero Trust. Zero Trust beseitigt alle expliziten Zugriffe und stellt sicher, dass ein Benutzer sich verifizieren muss, um Zugriff auf ein Asset oder eine Anwendung zu erhalten. Dies wird einen Angreifer sofort stoppen, selbst wenn er Anmeldeinformationen hat, da er sich nicht verifizieren kann. Selbst wenn dies der Fall ist, werden sie mit noch mehr verschlossenen Türen und noch mehr Kombinationen konfrontiert, die sie zu knacken versuchen. Die Idee besteht darin, nicht nur die Gefährdung wertvoller Anwendungen und Ressourcen zu reduzieren, sondern diese Bedrohungsakteure zu verlangsamen, bis sie aufgeben oder entdeckt werden.
- Einsatz von 24×7 Überwachungs- und Detektionslösungen. Wie bereits erwähnt, ist die Überwachung wichtig, aber wenn Sie nicht in der Lage sind, verschiedene Ereignisse innerhalb einer Umgebung zu erkennen und zu korrelieren, können Sie möglicherweise nicht verhindern, dass ein Angriff eskaliert. Durch den Einsatz einer MDR-Lösung wie Arctic Wolf® Managed Detection and Response erhält Ihre Organisation einen ganzheitlichen Überblick über ihre gesamte Angriffsfläche und kann sicherstellen, dass Sie im Falle eines Vorfalls schnell handeln können, um laterale Bewegungen zu verhindern.
Erfahren Sie im Arctic Wolf 2024 Security Operations Report, wie sich moderne Security Operations weiterentwickeln, um die innovativsten Cyberangriffe von heute zu bekämpfen.
Informieren Sie sich über die Bedrohungen von heute und darüber, wie Sie sich auf die Bedrohungen von morgen vorbereiten können, mit unserem Arctic Wolf Labs 2024 Threat Report.
