Was ist die Lateralbewegung?

Im Großen und Ganzen bestehen Angriffe mit Lateralbewegung aus zwei Teilen: Einem anfänglichen Einbruch, gefolgt von einer internen Bewegung. Hacker müssen sich zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Endpunktsicherheit umgehen. Sie könnten Phishing-Angriffe oder Malware nutzen, um ein Gerät oder eine Anwendung zu kompromittieren, oder sich über einen offenen Server-Port anfänglichen Zugriff verschaffen. Nachdem sich die Angreifer im Inneren befinden, können sie in diesen Phasen der Lateralbewegung damit beginnen, sich in andere Bereiche des Netzwerks zu verzweigen:

Erkundung
Nachdem sie Fuß gefasst haben, kartieren die Angreifer das Netzwerk und planen einen Weg zu ihrem Ziel. Sie suchen nach Informationen zu Netzwerkhierarchien, Betriebssystemen, Benutzerkonten, Geräten, Datenbanken und Apps, um zu verstehen, wie diese Assets verbunden sind. Sie könnten auch die Netzwerksicherheitskontrollen sondieren und dann ihre Erkenntnisse nutzen, um den Sicherheitsteams auszuweichen.

Privilegienerweiterung
 Wenn Hacker den Netzwerkaufbau verstehen, können sie eine Vielzahl von Techniken der Lateralbewegung nutzen, um mehr Geräte und Konten zu erreichen. Indem Hacker mehr Ressourcen infiltrieren, kommen sie nicht nur ihrem Ziel näher, sondern erschweren es auch, sie zu entfernen. Selbst wenn Sicherheitsoperationen sie von einem oder zwei Computern entfernen, haben sie weiterhin Zugriff auf andere Assets.

Während sich Hacker lateral bewegen, versuchen sie, Assets und Konten mit immer höheren Rechten zu erbeuten. Dieser Vorgang wird als „Privilegienerweiterung“ bezeichnet. Je mehr Privilegien die Angreifer haben, desto mehr können sie innerhalb des Netzwerks tun. Letztendlich zielen Hacker darauf ab, administrative Rechte zu erlangen, die es ihnen ermöglichen, praktisch überall hin zu gehen und alles zu tun.

Das Ziel erreichen
Hacker kombinieren und wiederholen Lateralbewegungstechniken nach Bedarf, bis sie ihr Ziel erreicht haben. Sie sind häufig auf der Suche nach vertraulichen Informationen, die sie sammeln, verschlüsseln und komprimieren können, um die Daten auf einen externen Server zu extrahieren. Es kann auch sein, dass sie das Netzwerk sabotieren, indem sie Daten löschen oder entscheidende Systeme mit Malware infizieren. Abhängig von ihrem letztendlichen Ziel halten Hacker Hintertüren und Remote-Zugriffspunkte möglicherweise so lange wie möglich aufrecht, um den Schaden zu maximieren.

Dumping von zugangsdaten: Hacker stehlen die Benutzernamen und Kennwörter legitimer Benutzer und „dumpen“ diese Anmeldedaten auf ihre eigenen Rechner. Sie könnten auch die Zugangsdaten von Administratoren stehlen, die sich kürzlich auf dem Gerät angemeldet haben. 

Weitergabe von Hash-Angriffen: Einige Systeme wandeln oder „hashen“ Passwörter in unlesbare Daten um, bevor sie übertragen und gespeichert werden. Hacker können diese Passwort-Hashes stehlen und sie verwenden, um Authentifizierungsprotokolle dazu zu verleiten, Berechtigungen für geschützte Systeme und Services zu erteilen. 

Weitergabe von Tickets: Hacker verwenden gestohlene Kerberos-Tickets, um Zugang zu Geräten und Diensten im Netzwerk zu erhalten. (Kerberos ist das Standardauthentifizierungsprotokoll, das im Microsoft Active Directory verwendet wird.)

Brute-Force-Angriffe: Hacker verschaffen sich Zugang zu einem Konto, indem sie Skripte oder Bots verwenden, um potenzielle Kennwörter zu generieren und zu testen, bis eines funktioniert.

Social Engineering: Hacker können ein kompromittiertes E-Mail-Konto eines Mitarbeiters nutzen, um Phishing-Angriffe zu starten, die darauf abzielen, die Zugangsdaten privilegierter Konten zu stehlen.

Hijacking gemeinsam genutzter Ressourcen: Hacker können Malware über gemeinsam genutzte Ressourcen, Datenbanken und Dateisysteme verbreiten. Zum Beispiel könnten sie Secure Shell (SSH)-Funktionen an sich nehmen, die Systeme über die Betriebssysteme macOS und Linux hinweg verbinden.

PowerShell-Angriffe: Hacker können die Windows-Befehlszeilenschnittstelle (CLI) und das Skripting-Tool PowerShell verwenden, um Konfigurationen zu ändern, Passwörter zu stehlen oder bösartige Skripte auszuführen.

„Living off the Land“: Hacker können sich auf interne Ressourcen verlassen, die sie kompromittiert haben, statt auf externe Malware in späteren Phasen der Lateralbewegung. Dieser Ansatz lässt ihre Aktivitäten legitim erscheinen und macht sie schwieriger zu entdecken.

Advanced Persistent Threats (APT): Die Lateralbewegung ist eine grundlegende Strategie für APT-Angriffsgruppen, deren Ziel es ist, ihren Zugang über einen längeren Zeitraum in ein Netzwerk zu infiltrieren, zu erkunden und zu erweitern. Sie nutzen oft Lateralbewegungen, um unentdeckt zu bleiben, während sie monate- oder sogar jahrelang mehrere Cyberangriffe durchführen.

Cyberspionage: Da die Cyberspionage dazu dient, sensible Daten oder Prozesse zu lokalisieren und zu überwachen, ist die Lateralbewegung eine wichtige Funktion für Cyberspione. Manche Staaten engagieren raffinierte Cyberkriminelle, weil sie sich innerhalb eines Zielnetzwerks frei bewegen und geschützte Assets unentdeckt ausspähen können.

Ransomware: Ransomware-Angreifer führen Lateralbewegungen durch, um auf viele verschiedene Systeme, Domänen, Anwendungen und Geräte zuzugreifen und die Kontrolle über diese zu erlangen. Je mehr sie erfassen können und je wichtiger diese Assets für den Betrieb eines Unternehmens sind, desto größer ist der Einfluss, den sie haben, wenn es darum geht, die Zahlung ihrer Rückgabe zu verlangen.

Botnet-Infektion: Mit fortschreitender Lateralbewegung erlangen Hacker die Kontrolle über immer mehr Geräte in einem angegriffenen Netzwerk. Sie können diese Geräte verbinden, um ein Roboternetzwerk oder Botnetz zu erstellen. Eine erfolgreiche Botnet-Infektion kann dazu genutzt werden, weitere Cyberangriffe zu starten, Spam-E-Mails zu verbreiten oder eine breite Gruppe von Zielbenutzern zu betrügen.

Da Lateralbewegungen innerhalb eines Netzwerks schnell eskalieren können, ist die frühzeitige Erkennung entscheidend für die Minderung von Schäden und Verlusten. Sicherheitsexperten empfehlen, Maßnahmen zu ergreifen, die dabei helfen, normale Netzwerkprozesse von verdächtigen Aktivitäten zu unterscheiden, wie zum Beispiel:

Analysieren des Benutzerverhaltens: Ungewöhnlich viele Benutzeranmeldungen, Anmeldungen, die spät in der Nacht stattfinden, Benutzer, die auf unerwartete Geräte oder Anwendungen zugreifen, oder ein Anstieg von fehlgeschlagenen Anmeldungen können alles Anzeichen für Lateralbewegungen sein. Verhaltensanalysen mit maschinellem Lernen können Sicherheitsteams dabei helfen, diese zu identifizieren und vor abnormalem Benutzerverhalten zu warnen.

Endgeräte schützen: Anfällige, mit dem Netzwerk verbundene Geräte wie persönliche Workstations, Smartphones, Tablets und Server sind die Hauptziele von Cyberbedrohungen. Sicherheitslösungen wie Endpoint Detection and Response (EDR) und Web Application Firewalls sind entscheidend für die Überwachung von Endgeräten und die Verhinderung von Netzwerkverletzungen in Echtzeit.

Erstellen von Netzwerkpartitionen: Eine Netzwerksegmentierung kann helfen, Lateralbewegungen zu verhindern. Das Erfordernis separater Zugriffsprotokolle für verschiedene Bereiche eines Netzwerks schränkt die Möglichkeiten eines Hackers ein, sich zu verzweigen. Außerdem lässt sich ungewöhnlicher Netzwerkverkehr leichter erkennen.

Datenübertragungen überwachen: Eine plötzliche Beschleunigung von Datenbankvorgängen oder massive Datenübertragungen an einen ungewöhnlichen Ort könnten ein Zeichen dafür sein, dass eine Lateralbewegung stattfindet. Tools, die Ereignisprotokolle aus Datenquellen wie Security Information and Event Management (SIEM) oder Network Detection and Response (NDR) überwachen und analysieren, können dabei helfen, verdächtige Datenübertragungsmuster zu identifizieren.

Multi-Faktor-Authentifizierung (MFA) verwenden: Wenn es Hackern gelingt, die Zugangsdaten von Benutzern zu stehlen, kann die Multi-Faktor-Authentifizierung durch eine weitere Sicherheitsebene dazu beitragen, einen Verstoß zu verhindern. Bei der MFA gewähren gestohlene Passwörter allein keinen Zugriff auf geschützte Systeme.

Untersuchen potenzieller Bedrohungen: Automatisierte Sicherheitssysteme können falsch positive Ergebnisse liefern und bisher unbekannte oder nicht behobene Cyber-Bedrohungen übersehen. Eine manuelle Bedrohungsjagd auf der Grundlage der neuesten Threat-Intelligence kann Unternehmen dabei helfen, potenzielle Bedrohungen zu untersuchen und eine effektive Reaktion auf Vorfälle vorzubereiten.

Proaktives Handeln: Das Patchen und Aktualisieren von Software, das Erzwingen des Systemzugriffs mit den geringsten Berechtigungen, die Schulung von Mitarbeitern zu Sicherheitsmaßnahmen und Penetrationsprüfungen können dazu beitragen, Lateralbewegungen zu verhindern. Es ist wichtig, sich kontinuierlich mit Schwachstellen zu beschäftigen, die von Hackern als Chance genutzt werden könnten.