Was ist laterale Bewegung?

Die laterale Bewegung ist eine Technik, die Angreifer nutzen, um sich im Netzwerk zu bewegen, nachdem sie sich zunächst Zugang zu einem System verschafft haben. Anstatt auf einem einzigen kompromittierten Gerät zu bleiben, weichen die Angreifer auf andere Computer, Server oder Cloud-Ressourcen aus, um ihren Zugriff zu erweitern, ihre Berechtigungen zu erhöhen und sensible Daten oder kritische Infrastrukturen zu erreichen. Diese Technik wird häufig bei fortgeschrittenen Cyberangriffen beobachtet, einschließlich Ransomware-Angriffen und Datenverletzungen, da sie es Angreifern ermöglicht, den Umfang und die Auswirkungen eines Einbruchs zu vergrößern.

Warum bewegen sich Cyberkriminelle lateral?

Cyberkriminelle hören selten beim ersten System auf, das sie kompromittieren. Stattdessen nutzen sie diesen anfänglichen Zugangspunkt, um die breitere Umgebung zu erkunden und wertvollere Ziele innerhalb des Netzwerks zu identifizieren. Durch diese Erkundung können Angreifer besser verstehen, wie Systeme verbunden sind und wo sensible Daten gespeichert werden.

Zugriff auf höherwertige Systeme

Der erste Zugriff erfolgt oft über Endpunkte mit geringerem Wert, wie etwa Mitarbeiterarbeitsplätze. Von dort aus bewegen sich die Angreifer seitlich weiter, um Systeme zu erreichen, auf denen vertrauliche Daten gespeichert sind, wie beispielsweise Datenbanken, Dateiserver oder Finanzsysteme. Diese Systeme enthalten häufig Informationen, die gestohlen, verändert oder zur Störung des Geschäftsbetriebs missbraucht werden können. Indem Angreifer über den ursprünglichen Eintrittspunkt hinaus expandieren, erhöhen sie die potenzielle Auswirkung eines Sicherheitsverstoßes und erhalten Zugang zu kritischeren Ressourcen. Durch den Zugriff auf höherwertige Systeme können Angreifer zudem ihre Präsenz im Netzwerk aufrechterhalten und böswillige Aktionen ausführen, ohne sofort entdeckt zu werden.

Rechteerweiterungen

Viele Systeme beschränken die Zugriffsrechte eines Standardbenutzerkontos. Um diese Einschränkungen zu überwinden, versuchen Angreifer, sich im Verlauf ihrer Bewegung im Netzwerk höhere Berechtigungsstufen zu verschaffen. Dieser Vorgang kann Methoden wie die Ausnutzung von Software-Sicherheitslücken oder den Diebstahl von Zugangsdaten umfassen. Rechteerweiterung ermöglicht es Angreifern, die Kontrolle über weitere Systeme zu übernehmen, auf eingeschränkte Daten zuzugreifen und mit weniger Einschränkungen zu arbeiten. Mit erweiterten Berechtigungen können Angreifer Sicherheitsmaßnahmen umgehen, neue Konten erstellen oder Systeme verändern, um ihre Position innerhalb der Umgebung zu festigen.

Zugriff auf Domänencontroller oder kritische Infrastruktur

In Unternehmensumgebungen spielen Domänencontroller und Verwaltungssysteme eine zentrale Rolle bei der Verwaltung von Zugriff und Authentifizierung. Angreifer nehmen diese Systeme häufig ins Visier, um weitreichende Kontrolle über das Netzwerk zu erlangen. Da diese Systeme Benutzeridentitäten und Berechtigungen verwalten, kann deren Kompromittierung es Angreifern ermöglichen, sich als legitime Benutzer auszugeben und sich freier in der Umgebung zu bewegen. Auf diesem Zugriffsniveau können Angreifer möglicherweise Dienste stören oder langfristig die Kontrolle über Systeme behalten.

Ransomware einsetzen oder Daten exfiltrieren

Wenn Angreifer sich innerhalb eines Netzwerks lateral bewegen können, nähern sie sich oft der Endphase ihres Angriffs. Nachdem Angreifer wertvolle Ressourcen identifiziert haben, können sie Ransomware auf mehreren Systemen einsetzen oder sensible Daten exfiltrieren. Die gleichzeitige Verbreitung von Ransomware auf mehreren Systemen kann die Wiederherstellung erschweren und den Druck auf Organisationen erhöhen, ein Lösegeld zu zahlen. Indem sich Angreifer zuerst lateral bewegen, können sie die Störung maximieren und die Effektivität ihres Angriffs erhöhen.

Übliche Phasen der lateralen Bewegung

Die laterale Bewegung folgt typischerweise einer strukturierten Abfolge, während Angreifer ihren Zugriff innerhalb eines Netzwerks ausweiten.

Anfängliche Kompromittierung

Der Angriff beginnt, sobald ein System zum ersten Mal kompromittiert wird, was durch Phishing, die Ausnutzung von Sicherheitslücken oder die Verwendung gestohlener Zugangsdaten geschehen kann. Dieser erste Einstiegspunkt verschafft Angreifern einen Ausgangspunkt innerhalb des Netzwerks.

Interne Ermittlungen

Sobald sie eingedrungen sind, sammeln Angreifer Informationen über die Umgebung. Dies umfasst die Kartierung des Netzwerks, die Identifizierung hochwertiger Systeme sowie die Ermittlung von Benutzerkonten und Vertrauensbeziehungen. Die in diesem Schritt gesammelten Informationen helfen den Angreifern dabei, zu bestimmen, wohin sie als Nächstes vorgehen sollen und welche Systeme am wertvollsten sind.

Anmeldedatenzugriff

Angreifer versuchen, an gültige Zugangsdaten zu gelangen, mit denen sie sich bei anderen Systemen authentifizieren können. Dies kann das Abgreifen von Zugangsdaten, das Sammeln von Passwörtern oder den Diebstahl von Tokens umfassen. Die Verwendung legitimer Zugangsdaten hilft Angreifern, sich in den normalen Netzwerkverkehr einzufügen und Sicherheitswarnungen zu vermeiden.

Rechteerweiterung

Nachdem sie Zugang zu weiteren Konten erhalten haben, versuchen Angreifer, ihren Zugriff zu erhöhen, indem sie Fehlkonfigurationen ausnutzen oder Dienstkonten missbrauchen. Höhere Berechtigungen ermöglichen es Angreifern, mehr Systeme zu kontrollieren, auf vertrauliche Ressourcen zuzugreifen und Aktionen auszuführen, die normalerweise eingeschränkt wären.

Laterale Wechsel

Mit erhöhtem Zugriff bewegen sich Angreifer zwischen Systemen innerhalb des Netzwerks. Dies kann den Zugriff auf Dateiserver, den Eintritt in Active-Directory-Umgebungen oder den Zugriff auf Domänencontroller umfassen. In manchen Fällen können Angreifer auch in verbundene Cloud- oder Hybridumgebungen vordringen und so den Umfang des Angriffs erweitern.

Zielgerichtete Ausführung

Sobald die Angreifer ihr Ziel gefunden haben, setzen sie ihren Plan in die Tat um. Dazu können unter anderem das Auslesen von Daten, der Einsatz von Ransomware oder die Schaffung von Persistenz für einen dauerhaften Zugriff gehören.

Gängige Techniken, die bei lateraler Bewegung verwendet werden

Angreifer verwenden verschiedene Techniken, um sich zwischen Systemen zu bewegen und dabei die Erkennung zu minimieren:

  • Pass-the-Hash: Angreifer verwenden gestohlene Passwort-Hashes wieder, um sich bei anderen Systemen zu authentifizieren, ohne das ursprüngliche Passwort zu benötigen. Diese Technik ist spezifisch für Umgebungen, die NTLM-Authentifizierung verwenden, und hat nur eine begrenzte Wirksamkeit, wenn Kerberos strikt durchgesetzt wird.
  • Pass-the-Ticket: Kerberos-Tickets werden verwendet, um legitime Benutzer zu imitieren und Zugang zu Netzwerkressourcen zu erhalten.
  • Remote Desktop Protocol (RDP): Angreifer verwenden gültige Zugangsdaten, um über RDP – ein legitimes Remote-Zugriffsprotokoll, das häufig angegriffen wird, da es in Unternehmensumgebungen weit verbreitet ist – aus der Ferne auf Systeme zuzugreifen.
  • Windows Management Instrumentation (WMI): Angreifer nutzen dieses in Windows integrierte Tool, um Befehle aus der Ferne auf verschiedenen Systemen auszuführen.
  • PowerShell-Remoting: Diese Technik ermöglicht die Ausführung von Befehlen und Skripten auf Remote-Computern.
  • SMB-Ausnutzung: Angreifer nutzen Filesharing-Protokolle, um zwischen Systemen zu wechseln.
  • SSH-Schlüsseldiebstahl und Sitzungsentführung: In Linux-Umgebungen können Angreifer SSH-Privatschlüssel stehlen, um sich bei anderen Systemen zu authentifizieren, oder die SSH-Agent-Weiterleitung missbrauchen, um aktive Sitzungen zu übernehmen. Dies sind unterschiedliche Techniken, die beide SSH-Vertrauensbeziehungen ausnutzen.
  • Living-off-the-Land-Binärdateien (LOLBins): Legitime Systemwerkzeuge werden missbraucht, um böswillige Aktivitäten durchzuführen und dabei den normalen Systembetrieb unauffällig zu gestalten.

Warum laterale Bewegungen schwer zu erkennen sind

Laterale Bewegungen lassen sich oft nur schwer erkennen, da Angreifer häufig auf legitime Anmeldedaten und integrierte Verwaltungstools zurückgreifen, anstatt offensichtliche böswillige Aktivitäten zu nutzen.

Daher können ihre Handlungen denen normaler Benutzer ähneln, wie etwa dem Einloggen in Systeme oder dem Zugriff auf interne Ressourcen. Dies ermöglicht es Angreifern, sich in den regulären Netzwerkverkehr einzufügen und die Auslösung herkömmlicher Sicherheitswarnungen zu vermeiden.

Obwohl es wichtig ist zu verstehen, wie laterale Bewegung funktioniert, müssen Organisationen auch in der Lage sein, laterale Bewegung zu erkennen, bevor Angreifer kritische Systeme erreichen.

Wie Sie laterale Bewegung verhindern

Organisationen können laterale Bewegungen verhindern, indem sie einschränken, wie leicht Angreifer nach einer ersten Kompromittierung zwischen Systemen wechseln können. Effektive Prävention der lateralen Ausbreitung konzentriert sich auf die Reduzierung unnötiger Zugriffe, die Kontrolle der Netzwerkkommunikation und die Überwachung verdächtiger Aktivitäten.

Setzen Sie Least-Privilege-Zugriff durch

Die Durchsetzung des Least-Privilege-Zugriffs ist eine der wirksamsten Methoden, um eine laterale Bewegung zu verhindern. Jeder Benutzer und jedes Dienstkonto sollte nur über die Berechtigungen verfügen, die für die jeweilige Rolle erforderlich sind. Dadurch wird sichergestellt, dass Angreifer, falls ein einzelnes Konto kompromittiert wird, dieses nicht nutzen können, um auf Systeme und Ressourcen zuzugreifen, die über den Geltungsbereich dieses Kontos hinausgehen. Organisationen sollten diese Berechtigungen regelmäßig überprüfen und anpassen, um zu verhindern, dass sich der Zugriff im Laufe der Zeit allmählich ausweitet.

Segmentieren Sie das Netzwerk

Die Netzwerksegmentierung begrenzt die laterale Bewegung, indem sie das Netzwerk in isolierte Zonen unterteilt, sodass eine Sicherheitslücke in einem Bereich nicht automatisch in anderen Bereichen Zugang gewährt. Die Mikrosegmentierung unterstützt diesen Ansatz, indem sie den Datenverkehr zwischen einzelnen Systemen auf die Verbindungen beschränkt, die ausdrücklich erforderlich sind. Dadurch werden Angreifer gezwungen, in jeder Phase zusätzliche Hürden zu überwinden, was den Sicherheitsteams mehr Zeit gibt, laterale Bewegungsversuche zu erkennen und darauf zu reagieren.

Verstärken Sie Authentifizierungskontrollen

Starke Authentifizierungskontrollen verringern das Risiko der lateralen Bewegung, indem sie gestohlene Zugangsdaten weniger wirksam machen. Die Multi-Faktor-Authentifizierung (MFA) fügt eine zusätzliche Verifizierungsebene hinzu, die Angreifer daran hindert, allein mit kompromittierten Passwörtern auf Konten zuzugreifen. Unternehmen sollten zudem gemeinsam genutzte oder Standard-Zugangsdaten beseitigen, da diese ein häufiges Ziel für Angreifer sind. Für Konten mit erhöhten Berechtigungen bietet eine Privileged Access Management (PAM)-Lösung zusätzlichen Schutz, indem sie steuert, wann und wie diese Konten verwendet werden, und sicherstellt, dass der Zugriff widerrufen wird, wenn er nicht mehr benötigt wird.

Überwachen Sie anomales Verhalten

Selbst wenn strenge Präventivmaßnahmen vorhanden sind, benötigen Unternehmen einen Überblick über die Aktivitäten in ihren Systemen. Die Überprüfung von Zugriffsprotokollen und der Einsatz von Verhaltensanalysen können helfen, ungewöhnliche Muster zu erkennen, wie z. B. die Verbindung eines Kontos mit Systemen, auf die es zuvor noch nicht zugegriffen hat, oder das Einloggen zu unerwarteten Zeiten. Durch die frühzeitige Erkennung dieser Anzeichen können Unternehmen die laterale Ausbreitung eindämmen, bevor Angreifer kritische Systeme erreichen.

Prüfen und bereinigen Sie Konten

Inaktive Konten, insbesondere solche, die mit ehemaligen Mitarbeitern oder stillgelegten Diensten verbunden sind, werden häufig von Angreifern ins Visier genommen, da sie oft unüberwacht bleiben. Durch regelmäßige Audits, bei denen ungenutzte Konten ermittelt und deaktiviert werden, werden diese Angriffspunkte beseitigt. Unternehmen sollten zudem regelmäßig die Berechtigungen aktiver Konten überprüfen, um sicherzustellen, dass diese nicht mehr Zugriffsrechte erhalten haben, als für ihre Rolle erforderlich sind.

Einverständnis zur Cookie-Nutzung widerrufenWir schätzen Ihre Privatsphäre

Wir verwenden Cookies auf unserer Website, um Ihnen das beste Browser-Erlebnis zu bieten, personalisierte Anzeigen zu unseren Produkten und Inhalten zu bieten und den Website-Datenverkehr zu analysieren. Um mehr zu erfahren, lesen Sie bitte unsere Datenschutzrichtlinie.

Für die kostenlose Testversion anmelden

Jetzt kaufen