Branche, Gastbeiträge - geschrieben von am Mittwoch, Juli 21, 2021 17:45 - noch keine Kommentare

Cyberattacken: Lateral Movement-Technik trägt maßgeblich zum Erfolg bei

Seitwärtsbewegungen im Netzwerk – die gefährlichen Pfade der Hacker

Von unserem Gastautor Damien Benazet, Director, Technical Account Management bei Tanium

[datensicherheit.de, 21.07.2021] Seitwärtsbewegungen im Netzwerk (engl. Lateral Movement) sind entscheidend für den dramatischen Anstieg der Cyberattacken in den vergangenen Jahren verantwortlich. In diesem Beitrag geht es um die Fragen sich nur wenige Organisationen dieser beliebten Angriffsmethode bewusst sind und wie sie sich davor schützen können.

Lateral Movement-Technik als bedeutender Vektor für die Verbreitung von Malware

Als Vektor für die Verbreitung von Malware wie WannaCry und NotPetya hat die Lateral Movement-Technik maßgeblich zum Erfolg dieser Angriffe beigetragen. Das Ziel der Cyberkriminellen besteht in diesem Fall darin, Privilegien auf den Client-Computern ihrer Opfer zu erlangen – und damit die Nutzerrechte, die ihnen Zugriff auf mehr oder weniger Computerressourcen gestatten. Hierbei handelt es sich um die unterschiedlichen Profile, die auf einem Client-Computer zu finden sind: das Gastprofil, das nur temporäre Zugriffsrechte auf eine sehr begrenzte Anzahl von Anwendungen gestattet, das Benutzerprofil, das lediglich die Nutzung des Client-Arbeitsplatzes erlaubt, und das Administratorprofil, das den entsprechenden Mitarbeitern alle Rechte einräumt, wie die Nutzung, Installation, Änderung und Löschung von Anwendungen und Einstellungen.

Damien Benazet, Director, Technical Account Management bei Tanium

Damien Benazet, Director, Technical Account Management bei Tanium, Bild: Tanium

Sobald es einem Hacker gelungen ist, auf einen Rechner im Firmennetzwerk zuzugreifen, beginnt er, Berechtigungsnachweise – auch Credentials genannt – zu finden, welche ihm mehr Rechte geben, um weitere Angriffe durchzuführen. Im ersten Schritt wird eine Spyware namens „Credential dumper“ installiert, die weitere auf dem Rechner vorhandenen Anmeldeinformationen sammelt. Danach wird geprüft, ob die auf diese Weise wiederhergestellten Anmeldeinformationen einen weiterreichenden Zugriff auf das Netzwerk gestatten als die bislang erworbenen Login-Daten.

Diese Anmeldeinformationen werden in vielen Fällen im Cache des Client-Computers gespeichert, sobald sich ein Nutzer mit einer der Methoden authentifiziert, die diese Anmeldeinformationen auf dem Computer hinterlegt. Dabei könnte es sich beispielsweise um Login-Daten eines IT-Mitarbeiters handeln, der ein paar Tage zuvor den jeweiligen Kollegen aufgrund technischer Probleme unterstützt hat.

Im nächsten Schritt wird der gesamte Vorgang wiederholt, jetzt allerdings auf den Rechnern, auf die dank der vorangegangenen Operationen zugegriffen werden kann. Ziel der Hacker ist schließlich, noch mehr Anmeldeinformationen mit noch mehr Privilegien zu ergaunern, um nach und nach tiefer in die Unternehmensumgebung einzudringen und mehr Macht darüber zu erlangen.

Lateral Movement – beliebt, weil simpel

Lateral Movement erfreut sich unter Hackern größter Beliebtheit, weil diese Methode weder große Ressourcen benötigt noch umfangreiche Skills erfordert, da das Netzwerk mit einfachsten Mitteln Schritt für Schritt infiltriert wird. Alles, was erforderlich ist, ist der Zugang zu einem einzigen Rechner, um von dort aus weitere Privilegien zu erwerben, indem man sich quer durch das Netzwerk bewegen kann.

Das logische Ziel besteht darin, die Kontrolle über so viele Maschinen wie möglich zu erlangen, mit den umfangreichsten Privilegien, um die Kontrolle über das gesamte Netzwerk zu übernehmen. Entweder wird dann dieses Netzwerk als Werkzeug benutzt, um weitere Angriffe zu starten oder um dieses unbemerkt mit Schadsoftware zu überfluten.

Ein Lateral-Movement-Angriff ist auch deshalb wesentlich einfacher durchzuführen als ein Netzwerkangriff, weil es sich hierbei um eine riesige Angriffsfläche handelt, die von IT-Abteilungen dennoch weitestgehend unterschätzt wird. Ein Grund hierfür ist die mangelnde Transparenz über alle Endpunkte im Unternehmensnetzwerk.

Die Lösung

Glücklicherweise gibt es einfache Möglichkeiten, sich zu schützen. Ein erster Schritt ist die korrekte Verwaltung der Administrator-Konten. Die zweite Maßnahme besteht darin, das SMB-Protokoll zwischen Client-Rechnern zu schließen, da es einem Rechner erlaubt, das Netzwerk nach weiteren Rechnern zu durchsuchen – ein wesentlicher Vektor für die Verbreitung von Malware durch Lateral Movements. Des Weiteren ist es empfehlenswert, eine Authentifizierung mit einem temporären (zufälligen) Kennwort für das lokale Administratorprofil einzurichten. Gestohlene Passwörter wären für den Angreifer somit unbrauchbar, da sie nur einmal verwendet werden können.

Eine weitere Maßnahme, die umgesetzt werden sollte, ist die intensive Schulung der IT-Abteilungen, um ein Bewusstsein für Angriffstechniken wie Lateral Movement zu schaffen. Zweifelsohne neigen IT-Mitarbeiter dazu, das Profil mit den maximalen Rechten heranzuziehen, anstatt ein Konto zu nutzen, das über ausreichende Privilegien verfügt, um die jeweilige Operation durchzuführen. Das Risiko dieses Verhaltens besteht darin, dass Hacker, sind sie einmal im Besitz dieser Login-Daten für privilegierte Konten, einfach und schnell ein Konto mit den maximalen Rechten wiederherstellen können, was ihnen erlaubt, die Kontrolle über das gesamte Netzwerk zu übernehmen.

Eine weitere Lücke, die geschlossen werden muss, ist die unzureichende Sichtbarkeit der IT-Abteilungen auf die Endpunkte in ihrem Netzwerk. Dieser Mangel an Transparenz verhindert, dass die Sicherheitsabteilungen einen Überblick darüber gewinnen können, welche Anmeldeinformationen sich auf welchen Rechnern befinden. Mit mehr Einblick wäre es möglich, zu sehen, welche Sitzungen noch auf Computern und Servern zwischengespeichert sind. Werden diese umgehend bereinigt, ist es möglich, Lateral Movements zu blockieren.

Fazit

In Anbetracht des Erfolgs der jüngsten Malware-Angriffe sind Unternehmen gut beraten, proaktiv zu handeln und die aufgezeigten Maßnahmen umzusetzen. Auf diese Weise kann verhindert werden, dass Cyberkriminelle mit der Lateral Movement-Technik die Kontrolle über das Unternehmenswerk übernehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.07.2021
PrintNightmare: Zielgerichtetes Handeln der Unternehmen erforderlich

datensicherheit.de, 02.07.2021
PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke



Kommentieren

Kommentar

Theiners Talk

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung