O que é movimento lateral?

O movimento lateral não é uma funcionalidade de todo ataque cibernético, mas pode ser uma das ameaças mais danosas à cibersegurança. Isso ocorre porque o movimento lateral depende do roubo de credenciais de usuários para penetrar progressivamente mais fundo em uma rede violada. Esse tipo de violação exige uma resposta a incidentes mais complexa por parte das equipes de segurança e, normalmente, tem um ciclo de vida de resposta mais longo do que qualquer outro vetor de infecção.

De modo geral, os ataques de movimento lateral têm duas partes: uma violação inicial seguida de movimentação interna. Primeiro, os hackers devem obter acesso a uma rede esquivando-se da segurança de endpoint. Eles podem usar ataques de phishing ou malware para comprometer um dispositivo ou aplicação, ou obter acesso inicial por meio de uma porta de servidor aberta.

Depois que os invasores estão dentro, eles podem começar a se expandir para outras áreas da rede através desses estágios de movimento lateral:

Depois de se estabelecerem, os invasores mapeiam a rede e planejam uma rota até seu objetivo. Eles procuram dados sobre hierarquias da rede, sistemas operacionais, contas de usuários, dispositivos, bancos de dados e aplicativos para compreender as conexões entre esses ativos. Eles também podem analisar os controles de segurança da rede e usar o que aprenderam para driblar as equipes de segurança.

Quando hackers entendem o layout da rede, eles podem usar uma variedade de técnicas de movimento lateral para alcançar mais dispositivos e contas. Ao se infiltrar em mais recursos, os hackers não apenas se aproximam mais de seu objetivo, como também dificultam sua remoção. Mesmo que as operações de segurança os removam de uma ou duas máquinas, eles ainda terão acesso a outros ativos.

Conforme os hackers se movem lateralmente, eles tentam capturar ativos e contas com privilégios cada vez mais altos. Esse ato é chamado de "escalonamento de privilégios." Quanto mais privilégios os invasores tiverem, mais eles poderão fazer dentro da rede. O objetivo final dos hackers é adquirir privilégios administrativos, que lhes dão acesso praticamente ilimitado e liberdade para fazer quase tudo.

Os hackers combinam e repetem as técnicas de movimento lateral conforme a necessidade até atingirem o alvo. Frequentemente, eles buscam informações confidenciais para coletar, criptografar e compactar para exfiltração de dados para um servidor externo. Ou eles podem querer sabotar a rede, excluindo dados ou infectando sistemas críticos com malware. Dependendo de seu objetivo final, os hackers podem manter backdoors e pontos de acesso remoto pelo maior tempo possível para maximizar os danos.

Despejo de credenciais: hackers roubam os nomes de usuário e senhas de usuários legítimos e “despejam” essas credenciais em seus próprios dispositivos. Eles também podem roubar as credenciais de administradores que fizeram login recentemente no dispositivo.

Ataques "pass the hash": alguns sistemas convertem senhas em dados ilegíveis, por meio de “hash”, antes de sua transmissão e armazenamento. Os hackers podem roubar esses hashes de senha e usá-los para enganar os protocolos de autenticação, obtendo permissões para acessar sistemas e serviços protegidos.

Passar o tíquete: Os hackers utilizam um ticket Kerberos roubado para obter acesso a dispositivos e serviços na rede. (O Kerberos é o protocolo de autenticação padrão usado no Microsoft Active Directory).

Ataques de força bruta: hackers invadem uma conta utilizando scripts ou bots para gerar e testar senhas potenciais até encontrar uma que funcione.

Engenharia social: os hackers podem usar uma conta de e-mail de funcionário comprometida para lançar ataques de phishing eleborados para coletar as credenciais de login de contas privilegiadas.

Sequestro de recursos compartilhados: hackers podem espalhar malware por meio de recursos compartilhados, bancos de dados e sistemas de arquivos. Por exemplo, eles podem sequestrar os recursos do Secure Shell (SSH) que conectam sistemas entre os sistemas operacionais macOS e Linux.

Ataques PowerShell: hackers podem usar a interface de linha de comando (CLI) do Windows e a ferramenta de scripting PowerShell para alterar configurações, roubar senhas ou executar scripts maliciosos.

Vivendo da terra: hackers podem confiar em ativos internos que comprometeram em vez de usar malware externo nas etapas posteriores do movimento lateral. Essa abordagem faz com que suas atividades pareçam legítimas e as torna mais difíceis de detectar.

Ameaças persistentes avançadas (APT): o movimento lateral é uma estratégia fundamental para grupos de ataques de APT, cujo objetivo é infiltrar, explorar e expandir seu acesso em uma rede por um período prolongado. Eles frequentemente usam o movimento lateral para permanecer indetectáveis enquanto realizam vários ataques cibernéticos por meses ou até anos.

Espionagem cibernética: como a natureza da espionagem cibernética é localizar e monitorar dados ou processos sensíveis, o movimento lateral é uma capacidade fundamental para os espiões cibernéticos. Nações frequentemente contratam cibercriminosos avançados devido à sua capacidade de se mover livremente em uma rede alvo e realizar reconhecimento de ativos protegidos sem serem percebidos.

Ransomware: os invasores de ransomware realizam movimentos laterais para acessar e obter controle de muitos sistemas, domínios, aplicações e dispositivos diferentes. Quanto mais eles conseguirem capturar, e quanto mais críticos forem esses ativos para as operações de uma organização, maior será a vantagem que têm ao exigir pagamento por sua devolução.

Infecção de botnets: Com o progresso do movimento lateral, os invasores conseguem controlar um número crescente de dispositivos em uma rede invadida. Eles podem conectar esses dispositivos para criar uma rede de robôs ou botnet. Uma infecção por botnet bem-sucedida pode ser usada para lançar outros ciberataques, distribuir e-mails de spam ou enganar um grande grupo de usuários-alvo.

Devido ao fato de o movimento lateral poder escalar rapidamente em uma rede, a detecção antecipada é crucial para reduzir danos e prejuízos. Os especialistas em segurança sugerem ações que ajudam a diferenciar os processos normais da rede das atividades suspeitas, como:

Analisar o comportamento do usuário: volumes incomuns de logins de usuários, logins que ocorrem tarde da noite, usuários acessando dispositivos ou aplicativos inesperados, ou um aumento nas tentativas de login falhadas podem ser sinais de movimento lateral. Análise comportamental com aprendizado de máquina pode identificar e alertar as equipes de segurança sobre comportamentos anormais de usuários.

Proteja endpoints: dispositivos vulneráveis conectados à rede, como estações de trabalho pessoais, smartphones, tablets e servidores, são os principais alvos das ameaças cibernéticas. Soluções de segurança, como detecção e resposta de endpoint (EDR) e firewalls de aplicações da web, são críticos para monitorar os endpoints e prevenir violações de rede em tempo real.

Crie partições de rede: a segmentação de rede pode ajudar a interromper o movimento lateral. Exigir protocolos de acesso separados para diferentes áreas de uma rede limita a capacidade de um hacker de se expandir. Isso também facilita a detecção de tráfego de rede incomum.

Monitore as transferências de dados: uma aceleração repentina nas operações do banco de dados ou transferências maciças de dados para um local incomum podem sinalizar que o movimento lateral está em andamento. Ferramentas que monitoram e analisam logs de eventos de fontes de dados, como gerenciamento de informações e eventos de segurança (SIEM) ou detecção e resposta de rede (NDR), podem ajudar a identificar padrões suspeitos de transferência de dados.

Utilize a autenticação multifator (MFA): caso hackers consigam roubar credenciais de usuário, a autenticação multifator pode ajudar a prevenir uma violação ao adicionar uma camada extra de segurança. Com a MFA, as senhas roubadas por si só não fornecerão acesso aos sistemas protegidos.

Investigue ameaças potenciais: sistemas de segurança automatizados podem gerar falsos positivos, enquanto deixam de identificar ameaças cibernéticas desconhecidas ou não remediadas. A caça a ameaças manual informada pela mais recente inteligência de ameaças pode auxiliar as organizações a investigar e elaborar uma resposta efetiva a incidentes relacionados a ameaças potenciais.

Seja proativo: aplicar patches e atualizar software, impor o acesso ao sistema com os menores privilégios, treinar os funcionários sobre medidas de segurança e realizar teste de penetração podem ajudar a prevenir movimentos laterais. É fundamental abordar continuamente as vulnerabilidades que criam oportunidades para hackers.