Laterale Bewegung bzw. wie es meist genannt wird "Lateral Movement" ist eine bekannte Taktik von Cyberbedrohungen, primär APT, die dazu verwendet wird sich innerhalb eines Netzwerkes auszubreiten. Hierbei starten die Angreifer beim initial kompromittierten IT-System und hangeln sich von dort aus weiter. Das Ziel ist meist die Datenexfiltration oder das Erreichen eines bestimmten IT-Systems (z.B. Domain Controller).
Warum ist Lateral Movement so gefährlich?
Lateral Movement als Technik kann sich über Tage oder Monate hinziehen und so unentdeckt bleiben. Angreifer - speziell professionelle Hacker - sind sehr vorsichtig und gehen sehr bedacht vor. Sie weiten die Kontrolle über Daten und Systeme oft nur sehr langsam aus - oberstes Ziel ist es nicht entdeckt zu werden. Der Datenverkehr wird oft als regulärer Datenverkehr innerhalb des Netzwerks getarnt. Wir der Ausbreitung kein Einhalt geboten kann es zu massiven Schäden kommen - sowohl finanziell als auch in Bezug auf den Ruf des Unternehmens. Sich von einem Angriff dieser Art zu erholen, ist alles andere als einfach - oft müssen aus Sicherheitsgründen ganze IT-Systeme neu aufgesetzt werden. Das kostet Zeit, Geld und Nerven - es bindet außerdem einen beträchtlichen Teil der IT-Ressourcen.
Die Tatsache, dass unsere IT-Systeme immer komplexer werden - und damit schwerer zu kontrollieren und zu überwachen - macht es Angreifern leichter.
Wie gehen Hacker beim Lateral Movement vor?
Die initiale Kompromittierung eines IT-Systems ist der Startpunkt. Die Gründe für einen erfolgreichen Angriff sind vielfältig - Phishing-Mails, 0days oder ungepatchte Systeme können Gründe sein. Haben die Hacker das erste System unter Kontrolle und bei Bedarf ihre Rechte ausgeweitet, erfolgt die interne Aufklärung (Reconnaissance) des Netzwerks. Potentielle Ziele (Datenbankserver, Domain Controller, ...) werden auskundschaftet. Hierzu lassen sich simple interne Befehle verwenden (netstat, ping, ...) oder es werden spezielle Tools installert (Portscanner, Tools zum Analysieren des ARP Cache). Anschließend werden diverse Techniken verwendet, um Ziele zu erreichen.
Welche Techniken nutzen Hacker für Lateral Movement?
Welche Technik konkret verwendet wird, hängt stark von der Situation des Angreifers sowie des Ziels ab. Hier einige Beispiele:
-
Ziel ist ein veralteter Server/PC:
Eine bekannte Sicherheitslücke wird ausgenutzt, um auf das System zu kommen. -
Keylogging:
Angreifer installiert einen Keylogger auf einem System, um Passwörter und andere sensible Daten abzugreifen. -
Pass-the-Hash/Pass-the-Ticket:
Beides sind sehr spezielle Techniken, die es erlauben sich mit Hilfe von Hashes oder Tickets im Kontext von Kerberos auf anderen Systemen anzumelden. Hierzu wird kein Passwort benötigt. -
Mimikatz:
Der Klassiker: Der Angreifer liest aus dem RAM des aktuellen Systems Passwörter und Hashes aus, um diese ggf. weiter zu verwenden. -
Rechteausweitung:
Oft haben Nutzer, die kompromittiert wurden, nicht die nötigen Rechte, um auf das Zielsystem zu kommen. Hier wird versucht die Rechte zu erweitern. -
Interne Tools:
Muss ein Angreifer spezielle Tools installieren, steigt die Gefahr entdeckt zu werden signifikant. Daher wird oft versucht, interne Tools zu verwenden - hierbei handelt es sich um Systemwerkzeuge, die vorinstalliert sind und die für legitime Zwecke verwendet werden. -
Softwaremanipulation:
Professionelle Angreifer wissen, wie sie Softwarelösungen, wie z.B. Antivirensoftware, EDR/XDR, manipulieren können, um unentdeckt zu bleiben.
Wann ist ein Netzwerk besonders anfällig für Lateral Movement?
Ein Netzwerk ist für Lateral Movement besonders anfällig, wenn es nur unzureichende Netzwerksegmentierung gibt. Ist dem Personal erlaubt Passwörter oft und immer wieder zu verwenden, ist das Netzwerk ebenfalls anfälliger. Oft sieht man außerdem, dass zu viele Personen zu hohe Rechte haben - der Klassiker ist die Dame aus der HR, die auch noch Domain Admin ist (weil sie ja auch mal den Drucker installieren muss). Systeme, in denen sich niemand um die interne Sicherheit kümmert, sind ebenfalls ein gefundenes Fressen für Angreifer. Hierzu zählen neben dem Einspielen von Updates und Patches auch das regelmäßige Durchführen von Penetrationstests. Ein weiterer Punkt ist die mangelnde Überwachung des Netzwerks hinsichtlich suspekter Aktivitäten und Netzströme.
Wie kann man Lateral Movement erschweren?
- Netzwerksegmentierung / Zero Trust-Architektur mit Mikrosegmentierung
- Penetrationstests im internen Netzwerk / Red Teaming
- Antivirus-Software auf allen Endgeräten
- Implementierung guter (!) XDR/EDR-Lösungen sowie SIEM zwecks Überwachung
- IAM: Einsatz von 2FA/MFA für jeden Dienst und relevanten Login
Wie erkennt man Angreifer im Netzwerk?
Um Angreifer im Netzwerk zu erkennen, bedarf es Softwarelösungen, die entsprechend Daten sammeln sowie Personal, das in der Lage ist, diese Daten zu interpretieren. SIEM-Systeme speichern Ereignisse im Netzwerk - ein Nutzer, der sich innerhalb sehr kurzer Zeit bei diversen Diensten anmeldet sollte einen Alarm auslösen. EDR/XDR-Lösungen sind in der Lage, verdächtige Aktivitäten auf Endgeräten zu erkennen. Hierzu zählen das Ausführen von Powershell-Skripten, das Installieren von Software, das Löschen von Log-Dateien. Der Netzwerktraffic sollte ebenfalls überwacht werden - Datenexfiltration via DNS oder HTTP ist ein beliebtes Mittel, um Daten zu stehlen.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.