Branche, Gastbeiträge - geschrieben von cp am Mittwoch, Juli 21, 2021 17:45 - noch keine Kommentare
Cyberattacken: Lateral Movement-Technik trägt maßgeblich zum Erfolg bei
Seitwärtsbewegungen im Netzwerk – die gefährlichen Pfade der Hacker
Von unserem Gastautor Damien Benazet, Director, Technical Account Management bei Tanium
[datensicherheit.de, 21.07.2021] Seitwärtsbewegungen im Netzwerk (engl. Lateral Movement) sind entscheidend für den dramatischen Anstieg der Cyberattacken in den vergangenen Jahren verantwortlich. In diesem Beitrag geht es um die Fragen sich nur wenige Organisationen dieser beliebten Angriffsmethode bewusst sind und wie sie sich davor schützen können.
Lateral Movement-Technik als bedeutender Vektor für die Verbreitung von Malware
Als Vektor für die Verbreitung von Malware wie WannaCry und NotPetya hat die Lateral Movement-Technik maßgeblich zum Erfolg dieser Angriffe beigetragen. Das Ziel der Cyberkriminellen besteht in diesem Fall darin, Privilegien auf den Client-Computern ihrer Opfer zu erlangen – und damit die Nutzerrechte, die ihnen Zugriff auf mehr oder weniger Computerressourcen gestatten. Hierbei handelt es sich um die unterschiedlichen Profile, die auf einem Client-Computer zu finden sind: das Gastprofil, das nur temporäre Zugriffsrechte auf eine sehr begrenzte Anzahl von Anwendungen gestattet, das Benutzerprofil, das lediglich die Nutzung des Client-Arbeitsplatzes erlaubt, und das Administratorprofil, das den entsprechenden Mitarbeitern alle Rechte einräumt, wie die Nutzung, Installation, Änderung und Löschung von Anwendungen und Einstellungen.
Damien Benazet, Director, Technical Account Management bei Tanium, Bild: Tanium
Sobald es einem Hacker gelungen ist, auf einen Rechner im Firmennetzwerk zuzugreifen, beginnt er, Berechtigungsnachweise – auch Credentials genannt – zu finden, welche ihm mehr Rechte geben, um weitere Angriffe durchzuführen. Im ersten Schritt wird eine Spyware namens „Credential dumper“ installiert, die weitere auf dem Rechner vorhandenen Anmeldeinformationen sammelt. Danach wird geprüft, ob die auf diese Weise wiederhergestellten Anmeldeinformationen einen weiterreichenden Zugriff auf das Netzwerk gestatten als die bislang erworbenen Login-Daten.
Diese Anmeldeinformationen werden in vielen Fällen im Cache des Client-Computers gespeichert, sobald sich ein Nutzer mit einer der Methoden authentifiziert, die diese Anmeldeinformationen auf dem Computer hinterlegt. Dabei könnte es sich beispielsweise um Login-Daten eines IT-Mitarbeiters handeln, der ein paar Tage zuvor den jeweiligen Kollegen aufgrund technischer Probleme unterstützt hat.
Im nächsten Schritt wird der gesamte Vorgang wiederholt, jetzt allerdings auf den Rechnern, auf die dank der vorangegangenen Operationen zugegriffen werden kann. Ziel der Hacker ist schließlich, noch mehr Anmeldeinformationen mit noch mehr Privilegien zu ergaunern, um nach und nach tiefer in die Unternehmensumgebung einzudringen und mehr Macht darüber zu erlangen.
Lateral Movement – beliebt, weil simpel
Lateral Movement erfreut sich unter Hackern größter Beliebtheit, weil diese Methode weder große Ressourcen benötigt noch umfangreiche Skills erfordert, da das Netzwerk mit einfachsten Mitteln Schritt für Schritt infiltriert wird. Alles, was erforderlich ist, ist der Zugang zu einem einzigen Rechner, um von dort aus weitere Privilegien zu erwerben, indem man sich quer durch das Netzwerk bewegen kann.
Das logische Ziel besteht darin, die Kontrolle über so viele Maschinen wie möglich zu erlangen, mit den umfangreichsten Privilegien, um die Kontrolle über das gesamte Netzwerk zu übernehmen. Entweder wird dann dieses Netzwerk als Werkzeug benutzt, um weitere Angriffe zu starten oder um dieses unbemerkt mit Schadsoftware zu überfluten.
Ein Lateral-Movement-Angriff ist auch deshalb wesentlich einfacher durchzuführen als ein Netzwerkangriff, weil es sich hierbei um eine riesige Angriffsfläche handelt, die von IT-Abteilungen dennoch weitestgehend unterschätzt wird. Ein Grund hierfür ist die mangelnde Transparenz über alle Endpunkte im Unternehmensnetzwerk.
Die Lösung
Glücklicherweise gibt es einfache Möglichkeiten, sich zu schützen. Ein erster Schritt ist die korrekte Verwaltung der Administrator-Konten. Die zweite Maßnahme besteht darin, das SMB-Protokoll zwischen Client-Rechnern zu schließen, da es einem Rechner erlaubt, das Netzwerk nach weiteren Rechnern zu durchsuchen – ein wesentlicher Vektor für die Verbreitung von Malware durch Lateral Movements. Des Weiteren ist es empfehlenswert, eine Authentifizierung mit einem temporären (zufälligen) Kennwort für das lokale Administratorprofil einzurichten. Gestohlene Passwörter wären für den Angreifer somit unbrauchbar, da sie nur einmal verwendet werden können.
Eine weitere Maßnahme, die umgesetzt werden sollte, ist die intensive Schulung der IT-Abteilungen, um ein Bewusstsein für Angriffstechniken wie Lateral Movement zu schaffen. Zweifelsohne neigen IT-Mitarbeiter dazu, das Profil mit den maximalen Rechten heranzuziehen, anstatt ein Konto zu nutzen, das über ausreichende Privilegien verfügt, um die jeweilige Operation durchzuführen. Das Risiko dieses Verhaltens besteht darin, dass Hacker, sind sie einmal im Besitz dieser Login-Daten für privilegierte Konten, einfach und schnell ein Konto mit den maximalen Rechten wiederherstellen können, was ihnen erlaubt, die Kontrolle über das gesamte Netzwerk zu übernehmen.
Eine weitere Lücke, die geschlossen werden muss, ist die unzureichende Sichtbarkeit der IT-Abteilungen auf die Endpunkte in ihrem Netzwerk. Dieser Mangel an Transparenz verhindert, dass die Sicherheitsabteilungen einen Überblick darüber gewinnen können, welche Anmeldeinformationen sich auf welchen Rechnern befinden. Mit mehr Einblick wäre es möglich, zu sehen, welche Sitzungen noch auf Computern und Servern zwischengespeichert sind. Werden diese umgehend bereinigt, ist es möglich, Lateral Movements zu blockieren.
Fazit
In Anbetracht des Erfolgs der jüngsten Malware-Angriffe sind Unternehmen gut beraten, proaktiv zu handeln und die aufgezeigten Maßnahmen umzusetzen. Auf diese Weise kann verhindert werden, dass Cyberkriminelle mit der Lateral Movement-Technik die Kontrolle über das Unternehmenswerk übernehmen.
Weitere Informationen zum Thema:
datensicherheit.de, 12.07.2021
PrintNightmare: Zielgerichtetes Handeln der Unternehmen erforderlich
datensicherheit.de, 02.07.2021
PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren