Laterale beweging – daar herken je indringers aan
Een aanvaller heeft je beveiligingslinie weten te doorbreken zonder dat jij en je beveiligingsteam het hebben gemerkt. De indringer zoekt nu het netwerk af, en verbergt zich achter geldige inloggegevens en legitieme admin-tools. Alsof hij is vermomd als boomstronk of struik en zich van de ene naar de andere schuilplaats verplaatst.
Dit is de fase van de laterale beweging, waarin de aanvaller technieken gebruikt om het netwerk dieper binnen te dringen op zoek naar zijn doelwit. Daarbij kan het gaan om financiële data, intellectueel eigendom, burgerservicenummers of andere zaken die de aanvaller als de ‘kroonjuwelen’ beschouwt. Het is misschien een eng idee: een gemotiveerde aanvaller die ronddoolt in je systemen, maar dit kun je ook in je voordeel benutten.
Tijdrovende klus
Uit onderzoek van Smokescreen blijkt dat de laterale beweging de langstdurende fase van een aanval is: ongeveer 80 procent van de totale tijdsduur van de aanval. De indringer kan zich weken tot zelfs maanden in het netwerk bevinden, zich langzaam en voorzichtig voortbewegend. Deze lange tijdsduur is een van de redenen waarom aanvallers tijdens de laterale beweging de grootste kans lopen om te worden opgemerkt. Als je weet waar je op moet letten en je netwerk goed in beeld hebt, kan een aanvaller door slechts één verkeerde beweging worden ontmaskerd.
De basisstappen tijdens de laterale beweging vinden vaak plaats volgens een gelijksoortig patroon. Eenmaal in het netwerk zet de aanvaller doorgaans een verbinding op met zijn/haar eigen Command & Control-server. Vervolgens gaat hij over tot de verkenningsfase, waarin hij het netwerk in kaart brengt en tracht de gebruikers en apparaten te achterhalen. Hiervoor worden tools als netstat en nmap gebruikt.
Tussen systemen bewegen
De volgende stap is het verzamelen van inloggegevens. De aanvaller probeert geldige inloggegevens te verzamelen om zich van systeem naar systeem te kunnen bewegen. Hierbij worden tools als Mimikatz of pwdump gebruikt. Andere methodes voor het verkrijgen van inloggegevens zijn keyloggers, protocol-analyzers, de brute force-methode of phishing om via een list de inloggegevens van mensen te ontfutselen. Het uiteindelijke doel van de aanvaller is om admin privileges te verkrijgen zodat hij optimale toegang heeft binnen het netwerk.
Bij het verkennen van het netwerk komt de aanvaller er wellicht achter dat de organisatie gebruikmaakt van verouderde applicaties. De aanvaller kan dan kiezen voor een andere laterale bewegingstechniek: bruikbare exploits inzetten om de kwetsbaarheden van deze verouderde applicaties te benutten. Ook kan hij medewerkers van de organisatie proberen te phishen om zo een remote access tool op hun werkstation te installeren waarmee hij toegang heeft tot de beschikbare diensten van die medewerker.
The Hunt
Volgens het Verizon Data Breach Investigations Report van 2018 speelt de laterale beweging een steeds grotere rol, zelfs bij ransomware-aanvallen. Aanvallers versleutelen vaak niet meteen het eerste apparaat waarop ze binnendringen, maar duiken eerst dieper in het netwerk om toegang te krijgen tot de meest gevoelige servers en gegevens.
Met technologie waarmee je goed zicht hebt op je netwerk en door de signalen van abnormaal, afwijkend gedrag te herkennen, kun je deze fase benutten om de aanvaller te ontmaskeren en uit te bannen. Daarnaast kun je het indringers moeilijker maken om zich door het netwerk heen te bewegen, zelfs als ze er al in zitten. Dit kan onder meer via netwerksegmentatie, whitelists voor applicaties, toepassing van het least-privilege principe en het instellen van multifactorverificatie en sterke wachtwoorden.
In het verhaal The Hunt lees je meer over een gerichte aanval in de productie-industrie. Het schetst een gedetailleerd voorbeeld van de laterale bewegingstechnieken die aanvallers gebruiken om zich een weg door een netwerk te banen.
Categorieën