Von Friedrich von Jagwitz, Sales Engineer

Lateral Movement ist eine Taktik, die von Angreifern verwendet wird, um sich durch Ihr Netzwerk zu bewegen. Normalerweise verwenden Angreifer mehrere Techniken, um nach kritischen Assets und Daten zu suchen. Gleichzeitig bestimmt der Hacker das Angriffsziel und findet heraus, wie er darauf zugreifen kann. Die meisten Techniken, um auf das Angriffsziel zuzugreifen, beruhen auf manipulierten Anmeldeinformationen und der Nachahmung der täglichen Routinen des Administrators, um heimlich und unentdeckt zu bleiben. Für Unternehmen ist es damit eine echte Herausforderung, laterale Bewegungen mit herkömmlichen Sicherheitslösungen zu erkennen.

Die meisten Angriffe nutzen Social Engineering für den ersten Schritt des Lateral Movements. Spear-Phishing ist einer der erfolgreichsten Angriffsvektoren, um diejenigen Personen ins Visier zu nehmen, die ein Profil mit Zugriff auf interessante Daten haben. Dazu gehören z. B. C-Level-Phishing, „Whaling“, oder über die Kontrolle von sensiblen Systeme, z. B. Administratoren. Sobald der Angreifer Zugriff auf einen Rechner hat – z.B. nach einer erfolgreichen Phishing-Attacke – wird er mit diesem Konto arbeiten und die Privilegien nutzen, um nach relevanten Daten, zusätzlichen Anmeldedaten und Berechtigungen zu suchen. Dann wird der Angreifer versuchen, die Berechtigungen des Benutzerkontos zu skalieren, um weitere signifikante Aktionen in der Zielumgebung durchführen zu können.

Sobald der mögliche Ertrag auf einem System vorbei ist, wird er sich seitlich weiterbewegen. Der Angreifer wird versuchen, sich auf einem anderen Computer mit dem Konto anzumelden, das er zuerst gekapert hat. Wenn niemand den Angreifer aufhält, hat er alle Zeit der Welt, sich umzusehen und sich zwischen den Systemen zu bewegen. Bis er schließlich sensible Daten findet oder sich als ein allmächtiges Administratorkonto ausgibt.

In vielen Fällen beheben Unternehmen die Schwachstellen in ihrem Netzwerk aus vielen Gründen nicht. Dazu gehören hohe Kosten, die Verfügbarkeit von Ressourcen und Abhängigkeiten von anderen Systemen. Wenn Organisationen die Sicherheitsanfälligkeiten beheben, dauert der ungesicherte Übergang zu einem sichereren Netzwerk einige Zeit.

Trotz der Zeit und des Aufwands für die Behebung von Schwachstellen sind die „Blue Teamer“ nicht auf sich allein gestellt. Sie setzen viele verschiedene Tools ein, um Angriffe in jeder Phase zu erkennen. Eines der wichtigsten Tools zur Sicherheitsüberwachung ist ein SIEM-System (Security Information and Event Management). Mit einem SIEM ist es einfach, einen Eindringling zu identifizieren, der sich seitlich bewegt. Denn er wird unweigerlich Geräusche machen, wenn er von einem System zum anderen hüpft. Ist der Angreifer erst einmal entdeckt, können Blue Teamer ihn stoppen.

SIEMs können den Angreifer erkennen, wenn er beginnt, das gleiche Konto auf mehreren Computern zu verwenden. Normalerweise arbeiten die tatsächlichen Benutzer von einem einzigen Computer aus. LogPoint SIEM identifiziert den Angreifer anhand des folgenden einfachen Musters:

[ label=Login label=successful workstation = * | chart count() by workstation, user ] as s1 join [label=Login workstation=* label=Successful | chart count() by workstation, user ] as s2 on s1.user=s2.user | process compare(s1.workstation,s2.workstation) as match | filter match = false | chart count() by s1.user,s1.workstation,s2.workstation,match

Mit einer mühelosen Möglichkeit, den Angreifer zu erkennen, wissen Unternehmen sofort, wenn ein Konto verdächtige Aktivitäten durchführt. Die meisten SIEMs verfügen über leistungsstarke Visualisierungsoptionen, sodass Blue Teams Erkenntnisse innerhalb des Teams teilen können.

Verhaltensanalysen, wie z. B. UEBA, können anomales Verhalten im Netzwerk auch ohne Regeln oder manuelle Einrichtung erkennen. User and Entity Behavior Analytics (UEBA) verwenden fortschrittliches maschinelles Lernen, um zu erkennen, wenn sich Benutzer seltsam verhalten. UEBA sendet eine automatische Benachrichtigung, wenn Benutzer etwas außerhalb ihres üblichen Verhaltens tun. Auf diese Weise wissen Unternehmen, wann sie weitere forensische Untersuchungen durchführen müssen.

Ein Beispiel dafür, wie UEBA bei der Erkennung von Lateral Movement helfen kann, sind mehrere Versuche, sich in kurzer Folge bei verschiedenen Konten anzumelden und/oder von Geräten, die normalerweise nicht mit diesen Konten verbunden sind. UEBA brilliert in dieser Art von Szenario, da dies einige der grundlegendsten Anomalien sind, die es erkennen kann. Natürlich können Unternehmen auch Abfragen verwenden, um mehrfache Anmeldeversuche zu erkennen, aber das erfordert einen etwas aufwändigeren Ansatz.

Insgesamt können netzwerkübergreifende Lösungen, selbst die einfachste Log-Aggregation und -Visualisierung, von enormem Wert sein, um laterale Bewegungen zu erkennen. Diese Lösungen bieten einen schnellen Hinweis auf die Art von ungewöhnlichen Aktivitäten, die mit Lateral Movement übereinstimmen — insbesondere wenn der Angreifer automatisierte Methoden verwendet.

Andere Best Practices für die Sicherheit gelten natürlich weiterhin. Besonders wichtig sind das Prinzip der geringsten Privilegien und verschiedene authentifizierungsbezogene Mechanismen, wie Zwei-Faktor-Authentifizierung und Passwortanforderungen. Die Verteidigung gegen Lateral Movement ist jedoch ohne einer zusätzlichen Überwachungsfunktion nicht ausreichend.

Die Erkennung der Gefahr ist nur ein Schritt von der Reaktion entfernt. Nur mit dem Wissen darüber, was in Ihrem Netzwerk vor sich geht, können Sie den Angreifer stoppen und Ihr Unternehmen vor Datenverlust und Datenschutzverletzungen schützen.

Zu den Anfängen der Netzwerktechnik haben viele Menschen viel Mühe und Zeit darauf verwendet, neue Funktionen zu erfinden und das scheinbar Unmögliche möglich zu machen. Als Ray Tomlinson 1971 seine erste E-Mail („QWERTYUIOP“) verschickte, ging es ihm nur darum, zu überprüfen, ob sie korrekt gesendet und empfangen wurde. Nicht einmal 20 Jahre später, 1988, zeigte der „Morris“-Wurm die Schwachstellen von Computernetzwerken auf und das U.S. Government Accountability Office bezifferte die Kosten des Schadens auf 100.000 – 10.000.000 USD. 1991 verkündete Microsoft seine Vision vom persönlichen Computer auf jedem Schreibtisch, und in jedem Haus und Unternehmen jeder Größe wurde begonnen mit Computern zu arbeiten und Netzwerke aufzubauen.

Damals war die Nachfrage nach IT-Experten höher als die tatsächliche Anzahl an qualifizierten Fachkräften. Der Mangel an IT-Fachwissen führte zu Millionen von ungesicherten, falsch konfigurierten und hochgradig gefährdeten IT-Umgebungen. Viele ungesicherte Umgebungen sind auch heute noch in Betrieb und stellen ein großes und teures Risiko für Unternehmen dar.

Es gibt keinen Grund, ins Detail zu gehen, wie und wann die ersten Hacker auf die digitale Spielwiese kamen und die Millionen von verwundbaren Netzwerken als virtuelle Einladung zum Handeln empfanden. Die Hacker motivierten jedoch Organisationen, über Netzwerkverteidigung nachzudenken. Die berühmte Kill Chain von Lockheed Martin und später das branchenübliche MITRE ATT&CK-Framework helfen Blue Teams bei der Strukturierung der während der Verteidigungsaktivitäten gewonnenen Erkenntnisse. Ein Angreifer muss die Vorarbeit leisten, ehe er das bekommt, worauf er aus ist.

Die weitaus meisten Netzwerke verwenden Technologien von Microsoft, wie Active Directory (AD) zur Authentifizierung und Autorisierung sowie Windows-Server und -Clients. Einige Netzwerke verwenden sogar Windows NT fast zwei Jahrzehnte nach dem Ende des Supports. Windows-Computer als Teil einer AD-Domäne in einer einfachen, nicht gehärteten Konfiguration, die in flachen, nicht segmentierten Netzwerken leben, ermöglichen es Angreifern, schnell von einem System zum anderen zu gelangen. Auf ihren Streifzügen durch fremde Netzwerke erbeuten Angreifer Anmeldeinformationen und Daten und übernehmen manchmal die Kontrolle über ganze Netzwerke.

Get in touch with us and learn why leading brands choose LogPoint: