Ein Angreifer hat es geschafft, die Verteidigungslinien Ihres Netzwerks zu durchbrechen, ohne dass Sie oder Ihr Sicherheitsteam etwas davon mitbekommen haben. Der Eindringling bewegt sich nun durch Ihr Netzwerk und versteckt sich dabei hinter gültigen Benutzeranmeldeinformationen und legitimen Admin-Tools wie hinter Baumstümpfen und Büschen.
Das ist die Phase der Seitwärtsbewegung. Der Angreifer verwendet dabei Techniken, die ihn immer tiefer in das Netzwerk führen, bis er das eigentliche Ziel erreicht hat. Das können Finanzdaten sein, geistiges Eigentum, Sozialversicherungsnummern oder was auch immer der Angreifer als „Kronjuwelen“ betrachtet. Doch selbst wenn der Gedanke, dass ein motivierter Angreifer in Ihren Systemen lauert, bedrohlich sein mag, können Sie diese Phase zu Ihrem Vorteil nutzen.
Laut einer Studie von Smokescreen ist die Seitwärtsbewegung die längste Phase eines Angriffs und macht ungefähr 80 % von dessen Zeitrahmen aus. Der Eindringling verbringt Wochen oder sogar Monate im Netzwerk und bewegt sich langsam und vorsichtig darin herum. Dieser hohe Zeitaufwand ist ein Grund dafür, dass die Seitwärtsbewegung die Phase ist, in der Angreifer am leichtesten zu entdecken sind. Wenn Sie wissen, worauf Sie achten müssen, und Ihre Netzwerke im Griff haben, kann eine falsche Bewegung den Angreifer entlarven.
Die grundlegenden Schritte der Seitwärtsbewegung folgen oft einem ähnlichen Muster. Ist er erst einmal im Netzwerk, richtet der Angreifer normalerweise eine Verbindung zu seinem Command-and-Control-Server ein. Dann beginnt er mit dem Auskundschaften des Netzwerks, um ein Mapping des Netzwerk-Layouts durchzuführen sowie Nutzer und Geräte kennenzulernen. Zu diesem Zweck werden Tools wie netstat und nmap verwendet.
Der nächste Schritt ist das Abgreifen von Anmeldedaten. Der Angreifer versucht, gültige Benutzeranmeldeinformationen zu sammeln, um sich von System zu System bewegen zu können. Angreifer verwenden Tools wie etwa Mimikatz oder pwdump. Andere Methoden, Login-Informationen zu sammeln, umfassen die Verwendung von Keyloggern, Protokollanalysatoren, die „Brute-Force-Methode“ zum Knacken von Passwörtern oder Phishing, um Personen zur Herausgabe ihrer Benutzerinformationen zu verleiten. Das Ziel des Angreifers ist letztlich, sich Administratorrechte zu verschaffen, um größtmöglichen Zugriff und weitere Rechte innerhalb des Netzwerks zu erlangen.
Beim Auskundschaften des Netzwerks hat ein Eindringling möglicherweise entdeckt, dass das Unternehmen veraltete Anwendungen nutzt. Er kann dann eine andere Technik der Seitwärtsbewegung einsetzen, indem er versucht, diese veralteten Anwendungen mit verfügbaren Exploits auszunutzen. Der Angreifer kann auch versuchen, mittels Phishing Mitarbeiter auszuspähen und ein Fernzugriffstool für deren Workstation zu installieren, um so Zugriff auf die dem Mitarbeiter zur Verfügung stehenden Dienste zu erhalten.
Laut dem Verizon Data Breach Investigations Report von 2018 spielt die Seitwärtsbewegung sogar bei Angriffen mit Ransomware eine größere Rolle. So versuchen Angreifer, anstatt einfach das erste Gerät zu verschlüsseln, das sie infizieren, tiefer in das Netzwerk einzudringen, um Zugriff auf die wichtigsten Server und Daten zu bekommen.
Diese Phase des Angriffs zu nutzen, um den Angreifer zu entlarven und auszuschalten, ermöglicht Ihnen eine Technologie, die Ihnen eine klare Sicht auf Ihr Netzwerk sowie gute Kenntnisse über unnormale und ungewöhnliche Verhaltensweisen verschafft. Das Befolgen von Praktiken wie etwa Netzwerksegmentierung und Whitelisting von Anwendungen, die Durchsetzung des „Prinzips der minimalen Rechte“ und die Erfordernis von Multi-Faktor-Authentifizierung sowie starker Passwörter erschwert es Eindringlingen, sich frei zu bewegen, auch wenn sie bereits in das Netzwerk eingedrungen sind.
Ein detailliertes Beispiel für die Techniken, die Angreifer nutzen, um sich seitwärts in einem Netzwerk zu bewegen, finden Sie in unserer Story eines gezielten Angriffs in der Fertigungsbranche: „The Hunt – Die Jagd“.
Kategorien
