O que é movimento lateral?

De modo geral, os ataques de movimento lateral têm duas partes: uma violação inicial seguida de movimentação interna. Hackers devem primeiro obter acesso a uma rede contornando a segurança de endpoint. Eles podem usar ataques de phishing ou malware para comprometer um dispositivo ou aplicativo, ou obter acesso inicial por meio de uma porta de servidor aberta. Depois que os invasores estão dentro, eles podem começar a se expandir para outras áreas da rede através desses estágios de movimento lateral:

Reconhecimento
Após estabelecerem uma base, os invasores mapeiam a rede e planejam uma rota até seu objetivo. Os invasores procuram dados sobre a hierarquia da rede, sistemas operacionais, contas de usuários, dispositivos, bancos de dados e aplicativos para compreender as conexões entre esses recursos. Eles também podem analisar os controles de segurança da rede e usar o que aprenderam para driblar as equipes de segurança.

Escalonamento de privilégios
Quando os hackers compreendem a estrutura da rede, podem usar diversas técnicas de movimento lateral para acessar mais dispositivos e contas. Ao comprometerem mais recursos, os invasores não só ficam mais próximos de atingir seus objetivos, como também dificultam sua remoção. Mesmo que as operações de segurança os removam de uma ou duas máquinas, eles ainda terão acesso a outros recursos.

Conforme os hackers se movem lateralmente, eles tentam capturar ativos e contas com privilégios cada vez mais altos. Esse ato é chamado de "escalonamento de privilégios." Quanto mais privilégios os invasores tiverem, mais eles poderão fazer dentro da rede. O objetivo final dos hackers é adquirir privilégios administrativos, que lhes dão acesso praticamente ilimitado e liberdade para fazer quase tudo.

Atingindo o alvo
os hackers combinam e repetem técnicas de movimento lateral conforme necessário até atingirem o objetivo. Frequentemente, eles buscam informações sensíveis para coletar, criptografar e comprimir para exfiltração de dados para um servidor externo. Ou eles podem querer sabotar a rede, excluindo dados ou infectando sistemas críticos com malware. Dependendo de seu objetivo final, os hackers podem manter portas traseiras e pontos de acesso remoto pelo maior tempo possível para maximizar os danos.

Extração de credenciais: invasores roubam os nomes de usuário e senhas de usuários legítimos e “transferem” essas credenciais para seus próprios dispositivos. Eles também podem roubar as credenciais de administradores que fizeram login recentemente no dispositivo. 

Ataques Pass the Hash: alguns sistemas convertem senhas em dados ilegíveis, por meio de “hash”, antes de sua transmissão e armazenamento. Os hackers podem roubar esses hashes de senha e usá-los para enganar os protocolos de autenticação, obtendo permissões para acessar sistemas e serviços protegidos. 

Passar o tíquete: Os hackers utilizam um ticket Kerberos roubado para obter acesso a dispositivos e serviços na rede. (O Kerberos é o protocolo de autenticação padrão usado no Microsoft Active Directory).

Ataques de força bruta: hackers invadem uma conta utilizando scripts ou bots para gerar e testar senhas potenciais até encontrar uma que funcione.

Engenharia social: hackers podem usar uma conta de e-mail de funcionário comprometida para lançar ataques de phishing com o objetivo de coletar as credenciais de login de contas privilegiadas.

Sequestro de recursos compartilhados: hackers podem espalhar malware por meio de recursos compartilhados, bancos de dados e sistemas de arquivos. Por exemplo, eles podem sequestrar os recursos do Secure Shell (SSH) que conectam sistemas entre os sistemas operacionais macOS e Linux.

Ataques PowerShell: hackers podem usar a interface de linha de comando (CLI) do Windows e a ferramenta de scripting PowerShell para alterar configurações, roubar senhas ou executar scripts maliciosos.

Vivendo da terra: hackers podem confiar em ativos internos que comprometeram em vez de usar malware externo nas etapas posteriores do movimento lateral. Essa abordagem faz com que suas atividades pareçam legítimas e as torna mais difíceis de detectar.

Ameaças persistentes avançadas (APT): o movimento lateral é uma estratégia fundamental para grupos de ataques APT, cujo objetivo é infiltrar, explorar e expandir seu acesso em uma rede por um período prolongado. Eles frequentemente usam o movimento lateral para permanecer indetectáveis enquanto realizam múltiplos ciberataques por meses ou até anos.

Espionagem cibernética: como a natureza da espionagem cibernética é localizar e monitorar dados ou processos sensíveis, o movimento lateral é uma capacidade fundamental para os espiões cibernéticos. Nações frequentemente contratam cibercriminosos avançados devido à sua capacidade de se mover livremente em uma rede alvo e realizar reconhecimento de ativos protegidos sem serem percebidos.

Ransomware: os invasores de ransomware realizam movimento lateral para acessar e controlar diversos sistemas, domínios, aplicativos e dispositivos. Quanto mais eles conseguem capturar, e quão críticos esses ativos são para as operações de uma organização, maior será a alavancagem que têm ao exigir pagamento pelo seu retorno.

Infecção de botnets: Com o progresso do movimento lateral, os invasores conseguem controlar um número crescente de dispositivos em uma rede invadida. Eles podem conectar esses dispositivos para criar uma rede de robôs ou botnet. Uma infecção por botnet bem-sucedida pode ser usada para lançar outros ciberataques, distribuir e-mails de spam ou enganar um grande grupo de usuários-alvo.

Devido ao fato de o movimento lateral poder escalar rapidamente em uma rede, a detecção antecipada é crucial para reduzir danos e prejuízos. Os especialistas em segurança sugerem ações que ajudam a diferenciar os processos normais da rede das atividades suspeitas, como:

Analisar o comportamento do usuário: volumes incomuns de logins de usuários, logins que ocorrem tarde da noite, usuários acessando dispositivos ou aplicativos inesperados, ou um aumento nas tentativas de login falhadas podem ser sinais de movimento lateral. Análise comportamental com aprendizado de máquina pode identificar e alertar as equipes de segurança sobre comportamentos anormais de usuários.

Proteger endpoint: dispositivos vulneráveis conectados à rede, como estações de trabalho pessoais, smartphones, tablets e servidores, são os principais alvos das ameaças cibernéticas. Soluções de segurança, como detecção e resposta de endpoints (EDR) e firewalls de aplicações web, são fundamentais para monitorar os endpoints e prevenir violações de rede em tempo real.

Crie partições de rede: a segmentação de rede pode ajudar a interromper o movimento lateral. Exigir protocolos de acesso separados para diferentes áreas de uma rede limita a capacidade de um hacker de se expandir. Isso também facilita a detecção de tráfego de rede incomum.

Monitorar transferências de dados: uma aceleração repentina nas operações do banco de dados ou transferências maciças de dados para um local incomum podem sinalizar que o movimento lateral está em andamento. Ferramentas que monitoram e analisam logs de eventos de fontes de dados, como gerenciamento de informações e eventos de segurança (SIEM) ou detecção e resposta de rede (NDR), podem ajudar a identificar padrões suspeitos de transferência de dados.

Utilize a autenticação multifator (MFA): caso hackers consigam roubar credenciais de usuário, a autenticação multifator pode ajudar a prevenir uma violação ao adicionar uma camada extra de segurança. Com a MFA, as senhas roubadas por si só não fornecerão acesso aos sistemas protegidos.

Investigue ameaças potenciais: sistemas de segurança automatizados podem gerar falsos positivos, enquanto deixam de identificar ameaças cibernéticas desconhecidas ou não remediadas. A caça manual a ameaças informada pela mais recente inteligência de ameaças pode auxiliar as organizações a investigar e elaborar uma resposta efetiva a incidentes relacionados a ameaças potenciais.

Seja proativo: aplicar correções e atualizar softwares, impor o acesso ao sistema com o menor privilégio, treinar os funcionários sobre medidas de segurança e realizar testes de penetração podem ajudar a prevenir movimentos laterais. É fundamental abordar continuamente as vulnerabilidades que criam oportunidades para os hackers.