Un utente malintenzionato è riuscito a violare il tuo perimetro, all’insaputa di te e del tuo team di sicurezza. L’intruso ora sta sondando il terreno della tua rete, nascondendosi dietro credenziali utente valide e strumenti di amministrazione legittimi come se fossero alberi e cespugli, passando da un appostamento di copertura all’altro.
È la fase del movimento laterale, quando un attaccante usa tecniche per muoversi sempre più in profondità nella rete alla ricerca di ciò che lui o lei vuole. Potrebbero essere dati finanziari, proprietà intellettuale, numeri di previdenza sociale, o qualsiasi altra cosa che l’attaccante considera “prezioso”. E se l’idea di un attaccante motivato in agguato nei tuoi sistemi potrebbe intimidirti, in realtà puoi sfruttare questa fase a tuo vantaggio.
Secondo la ricerca di Smokescreen, il movimento laterale è la fase più lunga di un attacco, e rappresenta circa l’80% del tempo di un attacco. L’intruso trascorrerà settimane o addirittura mesi all’interno della rete, spostandosi lentamente e con attenzione. Questo lungo tempo speso nel movimento laterale è anche la fase in cui gli attaccanti sono più vulnerabili al rilevamento. Se sai cosa guardare e se hai visibilità sulle tue reti, una mossa falsa e un attaccante possono essere scoperti.
I passaggi base del movimento laterale seguono spesso un modello simile. Una volta all’interno della rete, l’utente malintenzionato di solito stabilisce una connessione al proprio server di comando e controllo. Quindi l’autore dell’attacco inizierà la ricognizione della rete per iniziare a mappare il layout della rete e scoprire i suoi utenti e dispositivi. Strumenti come netstat e nmap sono usati per questo scopo.
Il passo successivo è la raccolta delle credenziali. L’attaccante tenterà di raccogliere credenziali utente valide per poter passare da un sistema all’altro. Userà strumenti come Mimikatz o pwdump. Altri metodi di raccolta dei login includono l’utilizzo di keylogger, analizzatori di protocollo, brute forcing passwords o il phishing per ingannare le persone a fornire le credenziali. L’obiettivo dell’attaccante è in definitiva quello di aumentare i privilegi di amministratore, per ottenere il massimo livello di accesso e privilegio all’interno della rete.
Durante l’esecuzione della ricognizione della rete, un attaccante potrebbe scoprire che l’organizzazione utilizza applicazioni obsolete. Lui o lei potrebbe quindi provare un’altra tecnica di movimento laterale tentando di sfruttare queste applicazioni obsolete con gli exploit disponibili. L’avversario può scegliere di ingannare con il phishing i dipendenti nel tentativo di installare uno strumento di accesso remoto sulla loro workstation, ottenendo in tal modo l’accesso ai servizi disponibili di quel dipendente.
Secondo il Verizon Data Breach Investigations Report del 2018, il movimento laterale sta giocando un ruolo sempre maggiore anche negli attacchi ransomware. Gli attaccanti, anziché crittografare semplicemente il primo dispositivo che infettano, cercheranno di spostarsi più all’interno della rete per accedere ai server e ai dati più critici.
Sfruttare questa fase di attacco per scoprire e sradicare l’attaccante è possibile con una tecnologia che offra visibilità sulla rete e una buona comprensione di comportamenti anomali e anormali. E seguendo pratiche come la segmentazione della rete e la whitelist delle applicazioni, rafforzando il principio del minimo privilegio e richiedendo l’autenticazione multi-fattore e password complesse, sarà più difficile per gli intrusi spostarsi anche se sono già all’interno.
Per un esempio dettagliato delle tecniche utilizzate dagli attaccanti per spostarsi lateralmente all’interno di una rete, leggi la storia di un attacco mirato nel settore manifatturiero, The Hunt.
Categorie