Czym jest przemieszczanie się atakujących w sieci?

Przemieszczanie się w sieci to technika wykorzystywana przez atakujących do poruszania się po sieci po uzyskaniu początkowego dostępu do systemu. Zamiast pozostawać na jednym przejętym urządzeniu, atakujący przemieszczają się do innych komputerów, serwerów lub zasobów chmurowych, aby rozszerzyć zakres dostępu, podnieść uprawnienia oraz uzyskać dostęp do danych wrażliwych lub infrastruktury krytycznej. Technika ta jest powszechnie obserwowana w zaawansowanych cyberatakach, w tym podczas ataków ransomware i naruszeń bezpieczeństwa danych, ponieważ umożliwia atakującym zwiększenie skali i skutków włamania.

Dlaczego cyberprzestępcy przemieszczają się w sieci?

Cyberprzestępcy rzadko zatrzymują się na pierwszym przejętym systemie. Zamiast tego wykorzystują początkowy punkt dostępu do eksplorowania szerszego środowiska i identyfikowania cenniejszych celów w sieci. Dzięki takiemu rozpoznaniu atakujący mogą lepiej zrozumieć sposób połączenia systemów oraz ustalić, gdzie przechowywane są dane wrażliwe.

Uzyskanie dostępu do systemów o wyższej wartości

Początkowy dostęp jest często uzyskiwany za pośrednictwem mniej krytycznych punktów końcowych, takich jak stacje robocze pracowników. Stamtąd atakujący poruszają się bocznie, aby dotrzeć do systemów, które przechowują tajne dane, takie jak bazy danych, serwery plików lub systemy finansowe. Systemy te często zawierają informacje, które mogą zostać skradzione, zmodyfikowane lub wykorzystane do zakłócania działalności operacyjnej. Rozszerzając się poza pierwotny punkt wejścia, atakujący zwiększają potencjalny wpływ naruszenia i uzyskują dostęp do bardziej krytycznych zasobów. Dotarcie do systemów o wyższej wartości pozwala również atakującym utrzymać dostęp w sieci i wykonywać złośliwe działania bez natychmiastowego wykrycia.

Podnoszenie uprawnień

Wiele systemów ogranicza zakres działań dostępnych dla standardowego konta użytkownika. Aby obejść te ograniczenia, atakujący próbują uzyskać wyższy poziom uprawnień podczas przemieszczania się po sieci. Proces ten może obejmować między innymi wykorzystanie podatności oprogramowania lub kradzież danych uwierzytelniających. Eskalacja uprawnień umożliwia atakującym przejęcie kontroli nad dodatkowymi systemami, uzyskanie dostępu do ograniczonych danych oraz działanie przy mniejszej liczbie ograniczeń. Dysponując podwyższonymi uprawnieniami, atakujący mogą omijać mechanizmy bezpieczeństwa, tworzyć nowe konta lub modyfikować systemy w celu umocnienia swojej pozycji w środowisku.

Dotarcie do kontrolerów domeny lub infrastruktury krytycznej

W środowiskach korporacyjnych kontrolery domeny i systemy administracyjne odgrywają kluczową rolę w zarządzaniu dostępem i uwierzytelnianiem. Atakujący często obierają te systemy za cel, aby uzyskać szeroką kontrolę nad siecią. Ponieważ systemy te zarządzają tożsamościami użytkowników i uprawnieniami, ich przejęcie może umożliwić atakującym podszywanie się pod legalnych użytkowników oraz swobodniejsze poruszanie się po środowisku. Przy takim poziomie dostępu atakujący mogą zakłócać działanie usług lub utrzymywać długoterminową kontrolę nad systemami.

Wdrożenie ransomware lub eksfiltracja danych

Gdy atakujący są już w stanie przemieszczać się po sieci, często znajdują się na końcowym etapie ataku. Po zidentyfikowaniu cennych zasobów mogą wdrożyć ransomware w wielu systemach lub przeprowadzić eksfiltrację danych wrażliwych. Rozprzestrzenienie ransomware jednocześnie na wiele systemów może utrudnić odzyskanie sprawności operacyjnej i zwiększyć presję na organizację, aby zapłaciła okup. Dzięki wcześniejszemu przemieszczaniu się po sieci atakujący maksymalizują skalę zakłóceń i zwiększają skuteczność ataku.

Typowe etapy przemieszczania się atakujących w sieci

Przemieszczanie się atakujących w sieci zazwyczaj przebiega według uporządkowanego schematu, w miarę jak rozszerzają oni zakres swojego dostępu.

Początkowe przejęcie systemu

Atak rozpoczyna się od pierwszego przejęcia systemu, które może nastąpić w wyniku phishingu, wykorzystania podatności lub użycia skradzionych danych uwierzytelniających. Ten początkowy punkt dostępu stanowi dla atakujących punkt wyjścia wewnątrz sieci.

Rozpoznanie wewnętrzne

Po uzyskaniu dostępu atakujący zbierają informacje o środowisku. Obejmuje to mapowanie sieci, identyfikowanie systemów o wysokiej wartości oraz wykrywanie kont użytkowników i relacji zaufania. Informacje zgromadzone na tym etapie pomagają określić kolejne kierunki działania i najbardziej wartościowe cele.

Pozyskanie danych uwierzytelniających

Atakujący próbują zdobyć prawidłowe dane uwierzytelniające umożliwiające uwierzytelnianie w innych systemach. Może to obejmować pozyskiwanie danych uwierzytelniających z pamięci systemu, przechwytywanie haseł lub kradzież tokenów. Korzystanie z legalnych danych uwierzytelniających pomaga atakującym wtopić się w normalny ruch sieciowy i uniknąć wzbudzania alertów bezpieczeństwa.

Eskalacja uprawnień

Po uzyskaniu dostępu do dodatkowych kont atakujący próbują podnieść poziom swoich uprawnień, wykorzystując błędne konfiguracje lub nadużywając kont usługowych. Wyższe uprawnienia umożliwiają atakującym przejęcie kontroli nad większą liczbą systemów, uzyskanie dostępu do zasobów wrażliwych oraz wykonywanie działań, które w normalnych warunkach byłyby ograniczone.

Przemieszczanie się między systemami

Po uzyskaniu podwyższonych uprawnień atakujący przemieszczają się pomiędzy systemami w sieci. Może to obejmować uzyskiwanie dostępu do serwerów plików, środowisk Active Directory lub kontrolerów domeny. W niektórych przypadkach atakujący mogą również przenikać do połączonych środowisk chmurowych lub hybrydowych, rozszerzając zasięg ataku.

Realizacja celu

Po dotarciu do celu atakujący realizują swoje zamierzenia. Może to obejmować eksfiltrację danych, wdrożenie ransomware lub ustanowienie mechanizmów trwałego dostępu umożliwiających dalszą obecność w środowisku.

Najczęściej stosowane techniki przemieszczania się atakujących w sieci

Atakujący wykorzystują różne techniki przemieszczania się pomiędzy systemami przy jednoczesnym minimalizowaniu ryzyka wykrycia:

  • Atak Pass-the-hash: Atakujący ponownie wykorzystują skradzione skróty haseł do uwierzytelniania w innych systemach bez konieczności poznania oryginalnego hasła. Technika ta jest specyficzna dla środowisk wykorzystujących uwierzytelnianie NTLM i ma ograniczoną skuteczność tam, gdzie rygorystycznie egzekwowany jest protokół Kerberos.
  • Atak Pass-the-ticket: Bilety Kerberos są wykorzystywane do podszywania się pod legalnych użytkowników i uzyskiwania dostępu do zasobów sieciowych.
  • Remote Desktop Protocol (RDP): Atakujący wykorzystują prawidłowe dane uwierzytelniające do zdalnego dostępu do systemów za pośrednictwem RDP – legalnego protokołu zdalnego dostępu, który jest częstym celem ataków ze względu na jego powszechne wykorzystanie w środowiskach korporacyjnych.
  • Windows Management Instrumentation (WMI): Atakujący wykorzystują to wbudowane narzędzie systemu Windows do zdalnego wykonywania poleceń na innych systemach.
  • PowerShell Remoting: Technika ta umożliwia wykonywanie poleceń i skryptów na zdalnych komputerach.
  • Wykorzystywanie protokołu SMB: Atakujący wykorzystują protokoły współdzielenia plików do przemieszczania się pomiędzy systemami.
  • Kradzież klucza SSH i przejęcie sesji: W środowiskach Linux atakujący mogą kraść prywatne klucze SSH w celu uwierzytelniania się w innych systemach lub nadużywać przekazywania agenta SSH (SSH agent forwarding) do przejmowania aktywnych sesji. Są to odrębne techniki wykorzystujące relacje zaufania oparte na SSH.
  • Living-off-the-Land Binaries (LOLBins): Legalne narzędzia systemowe są wykorzystywane do prowadzenia złośliwych działań przy jednoczesnym ukrywaniu ich wśród normalnych operacji.

Dlaczego przemieszczanie się atakujących w sieci jest trudne do wykrycia

Przemieszczanie się atakujących w sieci może być trudne do wykrycia, ponieważ często wykorzystują oni prawidłowe dane uwierzytelniające oraz wbudowane narzędzia administracyjne zamiast oczywistych działań o charakterze złośliwym.

W rezultacie ich aktywność może przypominać zwykłe działania użytkowników, takie jak logowanie do systemów lub uzyskiwanie dostępu do zasobów wewnętrznych. Pozwala to atakującym wtopić się w normalny ruch sieciowy i uniknąć uruchamiania tradycyjnych alertów bezpieczeństwa.

Zrozumienie mechanizmów przemieszczania się atakujących w sieci jest istotne, jednak organizacje muszą również potrafić wykrywać takie działania, zanim atakujący dotrą do systemów krytycznych.

Jak zapobiegać przemieszczaniu się atakujących w sieci

Organizacje mogą zapobiegać przemieszczaniu się atakujących w sieci, ograniczając możliwość łatwego przemieszczania się między systemami po uzyskaniu początkowego dostępu. Skuteczne zapobieganie przemieszczaniu się atakujących w sieci koncentruje się na ograniczaniu zbędnych uprawnień dostępu, kontrolowaniu komunikacji sieciowej oraz monitorowaniu podejrzanej aktywności.

Wymuszenie dostępu o najmniejszych uprawnieniach

Egzekwowanie zasady najmniejszych uprawnień jest jednym z najskuteczniejszych sposobów zapobiegania przemieszczaniu się atakujących w sieci. Każdy użytkownik i każde konto usługowe powinny posiadać wyłącznie uprawnienia niezbędne do wykonywania przypisanej roli. Dzięki temu, nawet jeśli jedno konto zostanie przejęte, atakujący nie będą mogli wykorzystać go do uzyskania dostępu do systemów i zasobów wykraczających poza zakres tego konta. Organizacje powinny regularnie przeglądać i dostosowywać uprawnienia, aby zapobiegać ich stopniowemu rozszerzaniu się z upływem czasu.

Segmentacja sieci

Segmentacja sieci ogranicza możliwość przemieszczania się atakujących poprzez podział sieci na odizolowane strefy, dzięki czemu naruszenie bezpieczeństwa w jednym obszarze nie zapewnia automatycznie dostępu do pozostałych. Mikrosegmentacja dodatkowo wzmacnia to podejście poprzez ograniczenie ruchu pomiędzy poszczególnymi systemami wyłącznie do połączeń, które są jednoznacznie wymagane. Zmusi to atakujących do pokonywania dodatkowych barier na każdym etapie ataku, dając zespołom bezpieczeństwa więcej czasu na wykrycie i powstrzymanie prób przemieszczania się w sieci.

Wzmocnienie mechanizmów uwierzytelniania

Silne mechanizmy uwierzytelniania ograniczają ryzyko przemieszczania się atakujących w sieci poprzez zmniejszenie skuteczności skradzionych danych uwierzytelniających. Uwierzytelnianie wieloskładnikowe (MFA) dodaje dodatkową warstwę weryfikacji, uniemożliwiając atakującym uzyskanie dostępu do kont wyłącznie przy użyciu przejętych haseł. Organizacje powinny również wyeliminować współdzielone i domyślne dane uwierzytelniające, które często stanowią cel ataków. W przypadku kont o podwyższonych uprawnieniach rozwiązanie Privileged Access Management (PAM) zapewnia dodatkową ochronę poprzez kontrolowanie sposobu i czasu korzystania z tych kont oraz gwarantowanie wycofania dostępu, gdy nie jest już potrzebny.

Monitorowanie nietypowych zachowań

Nawet przy wdrożonych skutecznych mechanizmach zapobiegawczych organizacje muszą zachować pełną widoczność aktywności w swoich systemach. Analiza dzienników dostępu oraz wykorzystanie analityki behawioralnej pomagają identyfikować nietypowe wzorce, takie jak konto łączące się z systemami, do których wcześniej nie uzyskiwało dostępu, lub logujące się o nietypowych porach. Wczesne wykrycie takich sygnałów umożliwia powstrzymanie przemieszczania się atakujących, zanim dotrą oni do systemów krytycznych.

Audyt i porządkowanie kont

Nieaktywne konta, szczególnie te należące do byłych pracowników lub powiązane z wycofanymi usługami, są często celem ataków, ponieważ zazwyczaj nie są monitorowane. Regularne audyty umożliwiają identyfikowanie i wyłączanie nieużywanych kont, eliminując potencjalne punkty wejścia. Organizacje powinny również okresowo weryfikować uprawnienia aktywnych kont, aby upewnić się, że nie zgromadziły większego zakresu dostępu, niż jest to niezbędne do wykonywania przypisanej roli.

Wycofaj zgodę dot. plików cookieDbamy o prywatność użytkowników

Wykorzystujemy na naszej stronie pliki cookie na potrzeby zapewnienia jak najlepszej jakości przeglądania, wyświetlania spersonalizowanych reklam dotyczących naszych produktów i treści oraz analizy ruchu na stronie. Aby uzyskać więcej informacji, zapoznaj się z naszą polityką prywatności.

Zarejestruj się na darmowy okres próbny

Kup teraz