Branche, Gastbeiträge - geschrieben von cp am Mittwoch, Juli 21, 2021 17:45 - noch keine Kommentare
Cyberattacken: Lateral Movement-Technik trägt maßgeblich zum Erfolg bei
Seitwärtsbewegungen im Netzwerk – die gefährlichen Pfade der Hacker
Von unserem Gastautor Damien Benazet, Director, Technical Account Management bei Tanium
[datensicherheit.de, 21.07.2021] Seitwärtsbewegungen im Netzwerk (engl. Lateral Movement) sind entscheidend für den dramatischen Anstieg der Cyberattacken in den vergangenen Jahren verantwortlich. In diesem Beitrag geht es um die Fragen sich nur wenige Organisationen dieser beliebten Angriffsmethode bewusst sind und wie sie sich davor schützen können.
Lateral Movement-Technik als bedeutender Vektor für die Verbreitung von Malware
Als Vektor für die Verbreitung von Malware wie WannaCry und NotPetya hat die Lateral Movement-Technik maßgeblich zum Erfolg dieser Angriffe beigetragen. Das Ziel der Cyberkriminellen besteht in diesem Fall darin, Privilegien auf den Client-Computern ihrer Opfer zu erlangen – und damit die Nutzerrechte, die ihnen Zugriff auf mehr oder weniger Computerressourcen gestatten. Hierbei handelt es sich um die unterschiedlichen Profile, die auf einem Client-Computer zu finden sind: das Gastprofil, das nur temporäre Zugriffsrechte auf eine sehr begrenzte Anzahl von Anwendungen gestattet, das Benutzerprofil, das lediglich die Nutzung des Client-Arbeitsplatzes erlaubt, und das Administratorprofil, das den entsprechenden Mitarbeitern alle Rechte einräumt, wie die Nutzung, Installation, Änderung und Löschung von Anwendungen und Einstellungen.
Damien Benazet, Director, Technical Account Management bei Tanium, Bild: Tanium
Sobald es einem Hacker gelungen ist, auf einen Rechner im Firmennetzwerk zuzugreifen, beginnt er, Berechtigungsnachweise – auch Credentials genannt – zu finden, welche ihm mehr Rechte geben, um weitere Angriffe durchzuführen. Im ersten Schritt wird eine Spyware namens „Credential dumper“ installiert, die weitere auf dem Rechner vorhandenen Anmeldeinformationen sammelt. Danach wird geprüft, ob die auf diese Weise wiederhergestellten Anmeldeinformationen einen weiterreichenden Zugriff auf das Netzwerk gestatten als die bislang erworbenen Login-Daten.
Diese Anmeldeinformationen werden in vielen Fällen im Cache des Client-Computers gespeichert, sobald sich ein Nutzer mit einer der Methoden authentifiziert, die diese Anmeldeinformationen auf dem Computer hinterlegt. Dabei könnte es sich beispielsweise um Login-Daten eines IT-Mitarbeiters handeln, der ein paar Tage zuvor den jeweiligen Kollegen aufgrund technischer Probleme unterstützt hat.
Im nächsten Schritt wird der gesamte Vorgang wiederholt, jetzt allerdings auf den Rechnern, auf die dank der vorangegangenen Operationen zugegriffen werden kann. Ziel der Hacker ist schließlich, noch mehr Anmeldeinformationen mit noch mehr Privilegien zu ergaunern, um nach und nach tiefer in die Unternehmensumgebung einzudringen und mehr Macht darüber zu erlangen.
Lateral Movement – beliebt, weil simpel
Lateral Movement erfreut sich unter Hackern größter Beliebtheit, weil diese Methode weder große Ressourcen benötigt noch umfangreiche Skills erfordert, da das Netzwerk mit einfachsten Mitteln Schritt für Schritt infiltriert wird. Alles, was erforderlich ist, ist der Zugang zu einem einzigen Rechner, um von dort aus weitere Privilegien zu erwerben, indem man sich quer durch das Netzwerk bewegen kann.
Das logische Ziel besteht darin, die Kontrolle über so viele Maschinen wie möglich zu erlangen, mit den umfangreichsten Privilegien, um die Kontrolle über das gesamte Netzwerk zu übernehmen. Entweder wird dann dieses Netzwerk als Werkzeug benutzt, um weitere Angriffe zu starten oder um dieses unbemerkt mit Schadsoftware zu überfluten.
Ein Lateral-Movement-Angriff ist auch deshalb wesentlich einfacher durchzuführen als ein Netzwerkangriff, weil es sich hierbei um eine riesige Angriffsfläche handelt, die von IT-Abteilungen dennoch weitestgehend unterschätzt wird. Ein Grund hierfür ist die mangelnde Transparenz über alle Endpunkte im Unternehmensnetzwerk.
Die Lösung
Glücklicherweise gibt es einfache Möglichkeiten, sich zu schützen. Ein erster Schritt ist die korrekte Verwaltung der Administrator-Konten. Die zweite Maßnahme besteht darin, das SMB-Protokoll zwischen Client-Rechnern zu schließen, da es einem Rechner erlaubt, das Netzwerk nach weiteren Rechnern zu durchsuchen – ein wesentlicher Vektor für die Verbreitung von Malware durch Lateral Movements. Des Weiteren ist es empfehlenswert, eine Authentifizierung mit einem temporären (zufälligen) Kennwort für das lokale Administratorprofil einzurichten. Gestohlene Passwörter wären für den Angreifer somit unbrauchbar, da sie nur einmal verwendet werden können.
Eine weitere Maßnahme, die umgesetzt werden sollte, ist die intensive Schulung der IT-Abteilungen, um ein Bewusstsein für Angriffstechniken wie Lateral Movement zu schaffen. Zweifelsohne neigen IT-Mitarbeiter dazu, das Profil mit den maximalen Rechten heranzuziehen, anstatt ein Konto zu nutzen, das über ausreichende Privilegien verfügt, um die jeweilige Operation durchzuführen. Das Risiko dieses Verhaltens besteht darin, dass Hacker, sind sie einmal im Besitz dieser Login-Daten für privilegierte Konten, einfach und schnell ein Konto mit den maximalen Rechten wiederherstellen können, was ihnen erlaubt, die Kontrolle über das gesamte Netzwerk zu übernehmen.
Eine weitere Lücke, die geschlossen werden muss, ist die unzureichende Sichtbarkeit der IT-Abteilungen auf die Endpunkte in ihrem Netzwerk. Dieser Mangel an Transparenz verhindert, dass die Sicherheitsabteilungen einen Überblick darüber gewinnen können, welche Anmeldeinformationen sich auf welchen Rechnern befinden. Mit mehr Einblick wäre es möglich, zu sehen, welche Sitzungen noch auf Computern und Servern zwischengespeichert sind. Werden diese umgehend bereinigt, ist es möglich, Lateral Movements zu blockieren.
Fazit
In Anbetracht des Erfolgs der jüngsten Malware-Angriffe sind Unternehmen gut beraten, proaktiv zu handeln und die aufgezeigten Maßnahmen umzusetzen. Auf diese Weise kann verhindert werden, dass Cyberkriminelle mit der Lateral Movement-Technik die Kontrolle über das Unternehmenswerk übernehmen.
Weitere Informationen zum Thema:
datensicherheit.de, 12.07.2021
PrintNightmare: Zielgerichtetes Handeln der Unternehmen erforderlich
datensicherheit.de, 02.07.2021
PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren