Wat is laterale beweging?

Laterale verplaatsing is een techniek die aanvallers gebruiken om zich door een netwerk te verplaatsen nadat ze aanvankelijke toegang tot een systeem hebben verkregen. Aanvallers blijven niet op één gehackt apparaat, maar breiden hun activiteiten uit naar andere computers, servers of cloudbronnen om hun toegang te vergroten, hun privileges te verhogen en toegang te krijgen tot gevoelige gegevens of kritieke infrastructuur. Deze techniek wordt vaak gezien bij geavanceerde cyberaanvallen, waaronder ransomware-incidenten en gegevenslekken, omdat aanvallers hiermee de omvang en de impact van een inbraak kunnen vergroten.

Waarom bewegen cybercriminelen zich lateraal?

Cybercriminelen stoppen zelden bij het eerste systeem dat ze compromitteren. In plaats daarvan gebruiken ze dat eerste toegangspunt om de bredere omgeving te verkennen en waardevollere doelen binnen het netwerk te identificeren. Met deze verkenning krijgen aanvallers een beter inzicht in hoe systemen met elkaar zijn verbonden en waar gevoelige gegevens worden opgeslagen.

Toegang tot waardevollere systemen

De eerste toegang wordt vaak verkregen via minder belangrijke eindpunten, zoals de werkstations van medewerkers. Van daaruit bewegen aanvallers zich lateraal om systemen te bereiken die gevoelige gegevens opslaan, zoals databases, bestandsservers of financiële systemen. Deze systemen bevatten vaak informatie die kan worden gestolen, gewijzigd of gebruikt om de bedrijfsvoering te verstoren. Als aanvallers verder gaan dan het oorspronkelijke toegangspunt, vergroten zij de mogelijke gevolgen van een inbreuk en krijgen ze toegang tot meer kritieke bronnen. Door toegang te krijgen tot waardevollere systemen kunnen aanvallers ook langer binnen het netwerk actief blijven en kwaadwillige acties uitvoeren, zonder daarbij direct te worden opgemerkt.

Privilege-escalatie

Veel systemen beperken de toegangsmogelijkheden van een standaardgebruikersaccount. Om deze beperkingen te omzeilen, proberen aanvallers steeds hogere toegangsrechten te verkrijgen naarmate ze zich verder door het netwerk bewegen. Dit proces kan methoden omvatten zoals het misbruiken van softwarekwetsbaarheden of het stelen van aanmeldingsgegevens. Privilege-escalatie stelt aanvallers in staat om controle te krijgen over extra systemen, toegang te krijgen tot beperkte gegevens en met minder beperkingen te opereren. Met verhoogde privileges kunnen aanvallers beveiligingsmaatregelen omzeilen, nieuwe accounts aanmaken of systemen aanpassen om hun positie binnen de omgeving te versterken.

Bereik domeincontrollers of kritieke infrastructuren

In bedrijfsomgevingen spelen domeincontrollers en administratieve systemen een centrale rol bij het beheren van toegang en authenticatie. Aanvallers richten zich vaak op deze systemen om zo uitgebreide controle over het netwerk te krijgen. Aangezien deze systemen gebruikersidentiteiten en machtigingen beheren, kunnen aanvallers zich bij een inbreuk op deze systemen voordoen als legitieme gebruikers en zich vrijer door de omgeving bewegen. Op dit toegangsniveau kunnen aanvallers mogelijk services verstoren of langdurige controle over systemen behouden.

Ransomware inzetten of gegevens exfiltreren

Wanneer aanvallers zich lateraal binnen een netwerk kunnen verplaatsen, naderen ze vaak de laatste fase van hun aanval. Na het identificeren van waardevolle activa kunnen aanvallers ransomware op meerdere systemen inzetten of gevoelige gegevens exfiltreren. Het verspreiden van ransomware over meerdere systemen tegelijk kan herstel bemoeilijken en de druk op organisaties vergroten om losgeld te betalen. Als ze zich eerst lateraal verplaatsen, kunnen aanvallers de verstoring maximaliseren en de effectiviteit van hun aanval vergroten.

Algemene fasen van laterale beweging

Laterale beweging volgt doorgaans een gestructureerde progressie naarmate aanvallers hun toegang binnen een netwerk uitbreiden.

Initieel compromis

De aanval begint op het moment dat een systeem voor het eerst wordt gecompromitteerd, wat kan gebeuren door middel van phishing, het misbruiken van kwetsbaarheden of het gebruik van gestolen aanmeldingsgegevens. Deze eerste toegangspoort biedt aanvallers een startpunt binnen het netwerk.

Interne verkenning

Zodra ze zijn binnengedrongen, verzamelen de aanvallers informatie over de omgeving. Dit omvat het in kaart brengen van het netwerk, het identificeren van hoogwaardige systemen en het opsporen van gebruikersaccounts en vertrouwensrelaties. Aan de hand van de informatie die in deze fase wordt verzameld, kunnen aanvallers bepalen wat hun volgende stap moet zijn en welke systemen het meest waardevol zijn.

Toegang tot aanmeldingsgegevens

Aanvallers proberen geldige aanmeldingsgegevens te bemachtigen waarmee ze zich bij andere systemen kunnen aanmelden. Dit kan dumping van aanmeldingsgegevens, wachtwoordverzameling of tokendiefstal omvatten. Aanvallers kunnen zich met behulp van legitieme aanmeldingsgegevens mengen in het normale netwerkverkeer en zo voorkomen dat er beveiligingswaarschuwingen worden geactiveerd.

Privilege-escalatie

Nadat ze toegang hebben gekregen tot extra accounts, proberen aanvallers hun toegangsrechten uit te breiden door misconfiguraties uit te buiten of misbruik te maken van serviceaccounts. Met hogere privileges kunnen aanvallers meer systemen onder controle krijgen, toegang krijgen tot gevoelige bronnen, en handelingen verrichten die normaal gesproken beperkt zouden zijn.

Lateraal bewegen

Met verhoogde toegang kunnen aanvallers zich tussen systemen binnen het netwerk verplaatsen. Hieronder vallen bijvoorbeeld toegang tot bestandsservers, toegang tot Active Directory-omgevingen of toegang tot domeincontrollers. Aanvallers kunnen zich soms ook verplaatsen naar gekoppelde cloud- of hybride omgevingen, waardoor de reikwijdte van de aanval wordt vergroot.

Objectieve uitvoering

Zodra de aanvallers hun doelwit bereiken, kunnen ze hun doelstelling uitvoeren. Dit kan onder meer bestaan uit het stelen van gegevens, het inzetten van ransomware of het opzetten van een permanente aanwezigheid om voortdurende toegang te verkrijgen.

Veelgebruikte technieken voor laterale beweging

Aanvallers gebruiken diverse technieken om zich tussen systemen te verplaatsen en tegelijkertijd detectie te minimaliseren:

  • Pass-the-hash: Aanvallers hergebruiken gestolen wachtwoordhashes om zich bij andere systemen aan te melden zonder het oorspronkelijke wachtwoord nodig te hebben. Deze techniek is specifiek bedoeld voor omgevingen die gebruikmaken van NTLM-authenticatie en is beperkt effectief wanneer Kerberos strikt wordt toegepast.
  • Pass-the-ticket: Kerberos-tickets worden gebruikt om legitieme gebruikers te imiteren en toegang te verkrijgen tot netwerkbronnen.
  • Remote Desktop Protocol (RDP): Aanvallers gebruiken geldige aanmeldingsgegevens om op afstand toegang te krijgen tot systemen via RDP. Dit is een legitiem protocol voor externe toegang dat vaak het doelwit is, omdat het in bedrijfsomgevingen op grote schaal wordt gebruikt.
  • Windows Management Instrumentation (WMI): Aanvallers gebruiken dit ingebouwde Windows-programma om vanaf afstand opdrachten uit te voeren op verschillende systemen.
  • Extern PowerShell: Met deze techniek kunnen opdrachten en scripts op externe computers worden uitgevoerd.
  • Exploitatie van het MKB: Aanvallers maken gebruik van bestandsdelingsprotocollen om zich tussen systemen te verplaatsen.
  • SSH-sleuteldiefstal en sessie-overname: In Linux-omgevingen kunnen aanvallers SSH-privésleutels stelen om zich te authenticeren bij andere systemen of misbruik maken van SSH-agentforwarding om actieve sessies te kapen. Dit zijn verschillende technieken die beide gebruikmaken van SSH-vertrouwensrelaties.
  • Living-off-the-Land-binaries (LOLBins): Legitieme systeemtools worden gebruikt om kwaadaardige activiteiten uit te voeren, terwijl ze zich mengen met de normale bedrijfsvoering.

Waarom laterale beweging moeilijk te detecteren is

Laterale bewegingen kunnen moeilijk te detecteren zijn, omdat aanvallers vaak gebruikmaken van legitieme aanmeldingsgegevens en ingebouwde beheertools in plaats van opvallende kwaadaardige activiteiten.

Deze acties kunnen daardoor lijken op die van gewone gebruikers, zoals aanmelden bij systemen of toegang verkrijgen tot interne bronnen. Hierdoor kunnen aanvallers opgaan in het reguliere netwerkverkeer en voorkomen dat traditionele beveiligingswaarschuwingen worden geactiveerd.

Hoewel het belangrijk is om te begrijpen hoe laterale beweging werkt, moeten organisaties ook laterale beweging kunnen detecteren voordat aanvallers kritieke systemen bereiken.

Laterale beweging voorkomen

Organisaties kunnen laterale beweging voorkomen door te beperken hoe gemakkelijk aanvallers zich tussen systemen bewegen na een eerste inbreuk. Om laterale bewegingen effectief te voorkomen, is het van belang om onnodige toegang te beperken, de netwerkcommunicatie te controleren en te letten op verdachte activiteiten.

Handhaaf toegang met minimale privileges

Het afdwingen van toegang met minimale privileges is een van de meest effectieve manieren om laterale beweging te voorkomen. Elke gebruiker en elk serviceaccount mag alleen de machtigingen hebben die nodig zijn voor hun specifieke rol. Zo wordt ervoor gezorgd dat wanneer één account wordt gehackt, aanvallers dit niet kunnen gebruiken om toegang te krijgen tot systemen en bronnen die buiten het bereik van dat account vallen. Organisaties dienen deze machtigingen regelmatig te controleren en aan te passen om te voorkomen dat de toegangsrechten zich in de loop van de tijd steeds verder uitbreiden.

Segmenteer het netwerk

Netwerksegmentatie beperkt laterale beweging door het netwerk op te delen in geïsoleerde zones, waardoor een inbreuk in één gebied niet automatisch toegang geeft tot andere zones. Microsegmentatie versterkt deze aanpak door het verkeer tussen afzonderlijke systemen te beperken tot uitsluitend de verbindingen die expliciet nodig zijn. Hierdoor worden aanvallers gedwongen om in elke fase extra barrières te overwinnen, waardoor beveiligingsteams meer tijd krijgen om pogingen tot laterale bewegingen te detecteren en hierop te reageren.

Sterkere authenticatiecontroles

Sterke authenticatiemaatregelen verminderen het risico op laterale bewegingen door gestolen aanmeldingsgegevens minder effectief te maken. Multi-factor-authenticatie (MFA) voegt een verificatielaag toe die voorkomt dat aanvallers toegang krijgen tot accounts met alleen gecompromitteerde wachtwoorden. Organisaties moeten ook gedeelde of standaard aanmeldingsgegevens verwijderen, die veelvoorkomende doelwitten zijn voor aanvallers. Voor accounts met verhoogde privileges biedt een Privileged Access Management (PAM) -oplossing extra bescherming door te bepalen wanneer en hoe die accounts worden gebruikt en ervoor te zorgen dat de toegang wordt ingetrokken wanneer deze niet meer nodig is.

Controleer op afwijkend gedrag

Zelfs als er sterke controles ter voorkoming worden uitgevoerd, hebben organisaties inzicht nodig in de activiteiten in hun systemen. Het bekijken van toegangslogs en het gebruik van gedragsanalyses kan helpen om ongebruikelijke patronen te identificeren. Denk hierbij aan een account dat verbinding maakt met systemen waartoe het voorheen geen toegang had of dat zich op onverwachte tijdstippen aanmeldt. Door deze indicatoren vroegtijdig te detecteren, kunnen organisaties laterale bewegingen beperken voordat aanvallers kritieke systemen bereiken.

Auditeren en opruimen van accounts

Inactieve accounts, met name die van voormalige medewerkers of services die niet meer in gebruik zijn, zijn vaak het doelwit van aanvallers aangezien deze meestal niet meer worden beheerd. Door regelmatig audits uit te voeren om ongebruikte accounts te identificeren en uit te schakelen, worden deze toegangspunten weggenomen. Organisaties moeten ook regelmatig de machtigingen van actieve accounts controleren om ervoor te zorgen dat ze niet meer toegang hebben dan nodig is voor hun rol.

Toestemming cookies intrekkenWe waarderen uw privacy

We gebruiken cookies op onze site om u de beste surfervaring te bieden, gepersonaliseerde advertenties over onze producten en inhoud aan te bieden en websiteverkeer te analyseren. Raadpleeg ons Privacybeleid voor meer informatie.

Meld u aan voor een gratis proefabonnement

Nu kopen