Laterale Bewegungen im Netzwerk verstehen und verhindern

Laterale Bewegungen sind so weit verbreitet, dass sie im MITRE ATT&CK-Framework als eine der Kernstrategien aktueller Cyberangriffe eingestuft werden. Während Hacker sich über Phishing oder kompromittierte Anmeldedaten Zugang zum Netzwerk verschaffen können, nutzen sie laterale Bewegungstechniken, um eine erste Sicherheitslücke in einen groß angelegten Angriff auszuweiten.

Gängige Techniken für laterale Bewegungen

Obwohl Cyberbedrohungen sich ständig weiterentwickeln, lassen sich viele gängige Techniken zur lateralen Bewegung in grundlegende Kategorien einteilen.

* Session-Hijacking
Angreifer übernehmen die Kontrolle über bestehende Sessions mit Remote-Diensten.

* Remote-Dienste
Mithilfe gültiger Konten melden sich Angreifer bei Diensten an, die Remote-Verbindungen akzeptieren, und führen Aktionen als angemeldeter Benutzer aus.

* Alternative Authentifizierung
Angreifer umgehen normale Kontrollen durch die Verwendung von Materialien wie Passwort-Hashes, Zugriffstoken und Kerberos-Tickets.

Andere Techniken zur lateralen Bewegung fallen nicht in diese Gruppen, können aber ebenso zerstörerisch sein. Tatsächlich verlassen sich Angreifer selten auf eine einzige Technik, sondern kombinieren oft verschiedene Taktiken, um unentdeckt zu bleiben und ihren Schwung aufrechtzuerhalten.

Living off the Land (LotL)

Anstatt externe Tools einzusetzen, verwenden Angreifer integrierte Dienstprogramme wie PowerShell, PsExec oder Windows Management Instrumentation (WMI), um sich mit dieser Technik lateral zu bewegen. Da diese Tools Teil des Betriebssystems sind, fügt sich ihre Verwendung nahtlos in den regulären Netzwerkverkehr ein.

Ausnutzen schwacher Passwörter

Einfache oder wiederverwendete Passwörter machen es Hackern leicht, Anmeldedaten zu erraten, mit Brute-Force-Angriffen zu knacken oder auf mehreren Systemen wiederzuverwenden. Sobald sie Zugriff auf eine Ressource haben, verwenden Angreifer häufig dieselben Anmeldedaten, um sich Zugang zu anderen zu verschaffen.

Pass-the-Hash-Angriffe (PtH)

Bei einem PtH-Angriff verwenden Angreifer eine gehashte Version eines Passworts, um sich zu authentifizieren, ohne es zu entschlüsseln. Diese Technik ist besonders effektiv in Umgebungen, die NTLM verwenden und über keine ordnungsgemäße Segmentierung oder Identitätsdurchsetzung verfügen.

Pass-the-Ticket-Angriffe (PtT)

PtT-Angriffe sind in Active Directory-Umgebungen weit verbreitet. Dabei werden gestohlene Kerberos-Tickets verwendet, um sich als Benutzer auszugeben und ohne Passwort auf Systeme zuzugreifen, wodurch der Zugriff auf sensible interne Dienste ermöglicht wird. Bei einem Golden-Ticket-Angriff wird das Ticket Granting Ticket (TGT) gestohlen, wodurch Angreifer sich als beliebiger Benutzer ausgeben können. Bei Silver-Ticket-Angriffen werden Servicetickets gestohlen, die eine eingeschränktere Authentifizierung ermöglichen.

Internes Spear-Phishing

Nachdem sie sich Zugang zu einem Konto verschafft haben, versenden Angreifer überzeugende Phishing-E-Mails innerhalb des Unternehmens, um diese laterale Bewegungstechnik auszuführen. Diese Taktik ist aufgrund des internen Absenders und des bekannten Kontexts eher erfolgreich.

Kerberoasting

Bei dieser Technik werden Servicetickets für Konten mit Zugriff auf einen bestimmten Dienst angefordert und offline geknackt. Servicekonten mit schwachen Passwörtern sind häufige Ziele, insbesondere, wenn sie über Administratorrechte verfügen. Kerberoasting ist heimlicher als ein PtT-Angriff, da es keine ungewöhnlichen Netzwerkaktivitäten erzeugt.

Credential Dumping

Bei Credential Dumping werden Benutzernamen, Passwort-Hashes oder Klartext-Anmeldedaten aus dem Speicher, lokalen Dateien oder der Registrierung extrahiert. Die Anmeldedaten werden dann in anderen lateralen Bewegungstechniken wie PtH-Angriffen, PtT-Angriffen oder RDP-Anmeldeversuchen verwendet.

Remote Desktop Protocol (RDP) und Windows Remote Management (WinRM)

Zwei Beispiele für die Ausnutzung von Remote-Diensten sind RDP- und WinRM-Angriffe, bei denen gestohlene Anmeldedaten verwendet werden, um remote auf Systeme zuzugreifen und Aktionen als angemeldeter Benutzer auszuführen. Ohne strenge Kontrollen wie MFA kann diese Bewegung über lange Zeiträume unentdeckt bleiben.

Server Message Block (SMB)

Diese Methode ist eine weitere Technik, die Remote-Dienste nutzt und es Angreifern ermöglicht, mit einer Remote-Netzwerkfreigabe zu interagieren, indem sie sich mit gestohlenen Anmeldedaten anmelden. Da das SMB-Protokoll in erster Linie für den Zugriff auf Dateien, Drucker und serielle Schnittstellen verwendet wird, ist es für Angreifer eine einfache Möglichkeit, sich lateral durch ein Netzwerk zu bewegen.

SSH-Hijacking

Angreifer können aktive SSH-Sessions kapern, um denselben Zugriff wie der ursprüngliche Benutzer zu erhalten und Befehle auf einem System aus der Ferne auszuführen. Da diese Technik die bestehende SSH-Session eines legitimen Benutzers nutzt, um sich lateral zu bewegen, können Angreifer oft unentdeckt bleiben.

Schutz vor lateralen Bewegungen: Erkennung reicht nicht aus

Viele Unternehmen verlassen sich auf Tools wie Endpoint Detection and Response (EDR)-Systeme oder Security Information and Event Management (SIEM)-Plattformen, um laterale Bewegungen zu erkennen. Die Erkennung ist zwar wichtig, aber als Strategie zur Unterbindung lateraler Bewegungen unvollständig. Letztendlich sind Maßnahmen erforderlich, um den Punkt zu erreichen, an dem eine Warnung ausgegeben wird. Mehr Sichtbarkeit bietet Möglichkeiten, potenzielle Angriffsvektoren und -pfade zu verstehen, in die Unternehmen investieren müssen, um ihre Sicherheit zu erhöhen.

Sobald Angreifer in ein Netzwerk eingedrungen sind und sich lateral bewegen, wird das Zeitfenster, um sie einzudämmen, schnell kleiner – die Erkennung dauert oft zu lange, um Schäden zu verhindern. Angreifer beginnen in der Regel innerhalb von 30 Minuten nach der ersten Kompromittierung mit der lateralen Bewegung, und da so viele laterale Bewegungstechniken native Tools oder gültige Konten nutzen, kann es schwierig sein, böswilliges Verhalten von legitimen Aktivitäten zu unterscheiden. Anstatt sich ausschließlich auf die Erkennung zu verlassen, müssen Unternehmen auch Wege finden, um laterale Bewegungen vollständig zu verhindern.

Laterale Bewegungstechniken in Echtzeit blockieren

Das Patchen von Einstiegspunkten verhindert laterale Bewegungen nicht wirksam. Um die bevorzugten Techniken von Angreifern zu blockieren, müssen Unternehmen die internen Pfade eliminieren, auf die sich Angreifer verlassen. Die effektivsten Strategien kombinieren Netzwerksegmentierung, Identitätskontrollen und Echtzeit-Zugriffskontrolle.

* Mikrosegmentierung
Hierzu gilt es den Zugriff mit geringsten Berechtigungen durchzusetzen, um die Kommunikation zwischen Systemen auf das ausdrücklich Erlaubte zu beschränken, und alle Ressourcen zu isolieren, um Hacker zu blockieren.

* Multi-Faktor-Authentifizierung
Dies erfordert es, MFA auf privilegierte Ports und Dienste innerhalb des Netzwerks anzuwenden, um laterale Bewegungstechniken, die auf gestohlenen Anmeldedaten basieren, unwirksam zu machen.

* Identitätsbasierte Zugriffskontrollen
Den Zugriff gilt es basierend auf verifizierter Identität und Zweck, nicht nur auf IP-Adresse oder Standort zu gewähren.

* Automatisierte Richtlinienverwaltung
Automatisierte Lösungen ermöglichen es, Regeln auf der Grundlage des beobachteten Verhaltens dynamisch zu generieren und Richtlinien kontinuierlich an die sich ändernde Umgebung anzupassen.

Kay Ernst

ist Experte für Mikrosegmentierung Zero Networks.