Phase de mouvement latéral: L’occasion ou jamais de détecter une attaque ciblée
Un hacker est parvenu à infiltrer votre périmètre de sécurité sans être détecté par vos équipes. Il parcourt désormais votre réseau et veille toujours à dissimuler sa présence derrière des identifiants d’utilisateurs valides et des outils d’administration couramment utilisés.
La phase de mouvement latéral a été amorcée : le cyber criminel explore votre réseau en profondeur, à la recherche des données qu’il convoite. Il peut s’agir de données financières, de propriété intellectuelle, de numéros de sécurité sociale ou d’autres actifs stratégiques. L’idée qu’un individu malveillant soit présent sur votre réseau peut s’avérer intimidante.
Cela étant, vous pouvez utiliser cette phase de mouvement latéral à votre avantage.
Selon les recherches de Smokescreen, le mouvement latéral s’avère être la plus longue : elle représente environ 80% de la durée totale d’une attaque ciblée. Le hacker, qui se déplace lentement et prudemment sur le réseau, passe généralement des semaines, voire des mois à l’explorer. Durant cette phase – particulièrement longue –, il est possible de débusquer l’intrus. Si vous avez déterminé vos actifs à monitorer et si vous disposez de la visibilité réseau nécessaire, un seul faux mouvement du hacker peut le trahir.
Cette phase de mouvement latéral suit généralement le même schéma. Une fois sur le réseau, le hacker établit une connexion avec son serveur de commande et le contrôle. Il cherche ensuite à le cartographier et à lister les utilisateurs et périphériques. Il utilise à cette fin des outils comme netstat ou nmap.
Le pirate informatique tente ensuite d’obtenir des identifiants valides pour pouvoir passer d’un système à un autre. À cette fin, il peut recourir à des outils comme Mimikatz/ pwdump, se servir de keyloggers ou utiliser des analyseurs de protocole. Il peut aussi tenter de forcer des mots de passe. Son objectif : obtenir le plus haut niveau de privilèges administrateurs du réseau.
Au cours de la reconnaissance réseau, le hacker découvrira potentiellement des applications obsolètes. Il pourra alors tenter d’exploiter les vulnérabilités présentes sur ces applications. Dans d’autres cas, il enverra un email de phishing à l’un des employés, pour que ce dernier installe un outil d’accès à distance sur son poste de travail. De cette manière, il pourra alors accéder à tous les services auquel l’employé a lui même accès.
Selon le rapport 2018 de Verizon sur les vols de données (Data Breach Investigations Report), la phase de mouvement latéral revêt une importance toute particulière dans les attaques par ransomware. Plutôt que de procéder au chiffrement du premier périphérique auxquels ils ont accès, les hackers peuvent chercher à se déplacer sur le réseau afin d’accéder aux données et serveurs stratégiques.
Une entreprise peut tirer profit de cette phase de mouvement latéral pour détecter l’intrus et le mettre hors d’état de nuire : pour ce faire, elle doit disposer d’une visibilité réseau suffisante et savoir repérer les phénomènes inhabituels. Il lui faut également recourir à la segmentation du réseau et au whitelisting des applications. Elle doit appliquer le principe du moindre privilège, recourir à l’authentification multifactorielle et rendre obligatoire l’utilisation de mots de passe complexes. De cette manière, les hackers auront davantage de difficultés à se déplacer sur le réseau, même s’ils sont déjà parvenus à l’infiltrer.
Pour connaître en détails certaines techniques de mouvement latéral utilisées par les hackers, lisez The Hunt, l’histoire d’une attaque ciblée dans le secteur industriel.
Catégories