O que é movimento lateral?
- Glossário do IAM
- O que é movimento lateral?
Movimento lateral é uma técnica que os atacantes usam para se deslocar por uma rede após ganharem acesso inicial a um sistema. Em vez de ficarem em um único aparelho violado, eles passam para outros computadores, servidores ou recursos em nuvem, a fim de expandir o acesso, escalar privilégios e acessar dados confidenciais ou a infraestrutura crítica. Essa técnica é bastante observada em ciberataques avançados, como incidentes de ransomware e vazamentos de dados, pois permite que os atacantes aumentem o escopo e o impacto da invasão.
Por que os cibercriminosos se movem lateralmente?
Os cibercriminosos raramente param no primeiro sistema que violam. Em vez disso, eles aproveitam para explorar o ambiente mais amplo e identificar alvos mais valiosos dentro da rede. Nessa exploração, os invasores podem entender melhor como os sistemas estão conectados e onde os dados confidenciais ficam.
Acesso de sistemas de maior valor
O acesso inicial geralmente é feito via endpoints de menor valor, como a estação de trabalho de um funcionário. A partir daí, os atacantes se movem lateralmente para acessar sistemas que guardam dados sensíveis, como bancos de dados, servidores de arquivos e sistemas financeiros. Esses sistemas geralmente contêm informações que podem ser roubadas, alteradas ou usadas para interromper as operações de negócios. Ao expandir para além do ponto de entrada original, os atacantes aumentam o impacto potencial de uma violação e ganham acesso a recursos mais críticos. O acesso a sistemas de maior valor também permite que os atacantes mantenham persistência dentro da rede e realizem ações maliciosas sem serem detectados imediatamente.
Mais privilégios
Muitos sistemas restringem o que uma conta de usuário padrão pode acessar. Para superar essas limitações, os atacantes tentam obter níveis mais altos de permissão à medida que se movem pela rede. Esse processo pode envolver métodos como a exploração de vulnerabilidades de software e o roubo de credenciais. O escalonamento de privilégios permite que atacantes assumam o controle de mais sistemas, acessem dados restritos e operem com menos restrições. Com privilégios elevados, os atacantes podem contornar medidas de segurança, criar novas contas ou modificar sistemas para fortalecer a posição deles no ambiente.
Acesso a controladores de domínios ou à infraestrutura crítica
Nos ambientes corporativos, os controladores de domínios e os sistemas administrativos são essenciais ao gerenciamento de acesso e da autenticação. Os atacantes costumam visar a esses sistemas para ter controle generalizado sobre a rede. Como esses sistemas gerenciam identidades e permissões dos usuários, a violação deles pode permitir que atacantes se passem por usuários legítimos e se movam com mais liberdade pelo ambiente. Nesse nível de acesso, os atacantes podem interromper serviços ou manter o controle de sistemas no longo prazo.
Implantação de ransomware ou exfiltração de dados
Ao se moverem lateralmente dentro de uma rede, os atacantes geralmente se aproximam do estágio final do ataque. Depois de identificar ativos valiosos, os atacantes podem implantar ransomware em vários sistemas ou exfiltrar dados confidenciais. Distribuir ransomware em vários sistemas ao mesmo tempo pode dificultar a recuperação e aumentar a pressão sobre as organizações para que paguem um resgate. Ao se moverem lateralmente primeiro, os atacantes podem maximizar a interrupção e aumentar a eficácia do ataque.
Estágios comuns do movimento lateral
O movimento lateral normalmente segue uma progressão estruturada à medida que os atacantes expandem o acesso dentro de uma rede.
Violação inicial
O ataque começa quando um sistema é violado pela primeira vez, o que pode ocorrer via phishing, exploração de vulnerabilidades ou uso de credenciais roubadas. Essa posição inicial dá aos atacantes um ponto de partida dentro da rede.
Reconhecimento interno
Uma vez dentro, os atacantes coletam informações sobre o ambiente. Isso inclui mapear a rede, identificar sistemas de alto valor e descobrir contas de usuário e relações de confiança. As informações coletadas nesta etapa ajudam os invasores a determinar para onde avançar em seguida e quais sistemas são mais valiosos.
Acesso às credenciais
Os invasores tentam obter credenciais válidas para se autenticarem em outros sistemas. Pode envolver o vazamento de credenciais, a coleta de senhas ou o roubo de tokens. O uso de credenciais legítimas ajuda os invasores a se misturarem ao tráfego normal da rede e a evitar alertas de segurança.
Escalonamento de privilégios
Após ganharem acesso a mais contas, os atacantes tentam aumentar o nível de acesso explorando configurações incorretas ou abusando de contas de serviço. Privilégios elevados permitem que atacantes controlem mais sistemas, acessem recursos sensíveis e realizem ações que normalmente seriam restritas.
Pivoting lateral
Com acesso privilegiado, os atacantes podem se movimentar entre os sistemas dentro da rede. Isso pode incluir o acesso a servidores de arquivos, a entrada em ambientes do Active Directory ou o acesso a controladores de domínio. Em alguns casos, os atacantes também ir para ambientes de nuvem conectados ou híbridos, ampliando o alcance do ataque.
Execução do objetivo
Quando chegam ao alvo, os atacantes executam seu objetivo. Pode ser exfiltração de dados, implantação de ransomware ou estabelecimento de persistência para acesso contínuo.
Técnicas comuns no movimento lateral
Os atacantes adotam diversas técnicas para se movimentarem entre sistemas, minimizando a detecção:
- Pass-the-hash: Os atacantes reutilizam o hash de senhas roubadas para autenticar em outros sistemas sem precisar da senha original. Essa técnica é específica para ambientes que usam autenticação NTLM e tem eficácia limitada onde o Kerberos é rigorosamente aplicado.
- Pass-the-ticket: Os tickets Kerberos são usados para se passar por usuários legítimos e ganhar acesso a recursos de rede.
- Protocolo de área de trabalho remota (RDP): Os atacantes usam credenciais válidas para acessar remotamente os sistemas via RDP, um protocolo legítimo de acesso remoto que é frequentemente alvo de ataques devido à ampla utilização em ambientes corporativos.
- Instrumentação de gerenciamento do Windows (WMI): Os atacantes usam essa ferramenta integrada do Windows para executar remotamente comandos em vários sistemas.
- Remoto via PowerShell: Essa técnica permite que comandos e scripts sejam executados em máquinas remotas.
- Exploração de SMB: Os atacantes exploram protocolos de compartilhamento de arquivos para se movimentarem entre sistemas.
- Roubo de chaves SSH e sequestro de sessão: Nos ambientes Linux, os atacantes podem roubar chaves privadas SSH para autenticar em outros sistemas ou abusar do encaminhamento de agentes SSH para sequestrar sessões ativas. São técnicas distintas que exploram relações de confiança SSH.
- Binários Living-off-the-Land (LOLBins): São utilizadas ferramentas legítimas do sistema para realizar atividades maliciosas, disfarçando-se nas operações normais.
Por que o movimento lateral é difícil de detectar
O movimento lateral pode ser difícil de detectar porque os atacantes geralmente usam credenciais legítimas e ferramentas administrativas integradas, em vez de atividades maliciosas óbvias.
Consequentemente, essas ações podem se assemelhar às de usuários comuns, como fazer login no sistema ou acessar recursos internos. Isso permite que os invasores se misturem ao tráfego normal da rede e evitem os alertas de segurança tradicionais.
Embora seja importante saber como o movimento lateral funciona, as organizações também precisam saber detectar movimentos laterais antes que os atacantes acessem sistemas críticos.
Como prevenir o movimento lateral
As organizações podem impedir a movimentação lateral limitando a facilidade com que atacantes se movimentam entre sistemas após a violação inicial. A prevenção eficaz da movimentação lateral visa a reduzir acessos desnecessários, controlar a comunicação na rede e monitorar atividades suspeitas.
Imponha o acesso de menor privilégio
Impor o princípio do menor privilégio é uma das maneiras mais eficazes de impedir a movimentação lateral. Cada usuário e conta de serviço deve ter apenas as permissões necessárias para a função específica. Isso garante que, se uma única conta for violada, os invasores não poderão usá-la para acessar sistemas e recursos além do escopo dessa conta. As organizações devem rever e ajustar regularmente essas permissões para evitar que o acesso se expanda gradualmente ao longo do tempo.
Segmente a rede
A segmentação de rede limita o movimento lateral dividindo a rede em zonas isoladas, garantindo que a violação em uma área não dê automaticamente acesso a outras. A microssegmentação reforça essa abordagem, restringindo o tráfego entre sistemas separados apenas às conexões explicitamente necessárias. Isso obriga os atacantes a superar mais barreiras em cada etapa, dando às equipes de segurança mais tempo para detectar e responder às tentativas de movimentação lateral.
Reforce os controles de autenticação
Controles robustos de autenticação reduzem o risco de movimentação lateral ao deixar as credenciais roubadas menos eficazes. A autenticação multifator (MFA) adiciona uma camada de validação que impede que atacantes acessem contas usando apenas senhas violadas. As organizações também devem eliminar credenciais compartilhadas ou padrão, que são alvos comuns de ataques. Nas contas com privilégios elevados, uma solução em gerenciamento de acesso privilegiado (PAM) aumenta a proteção controlando quando e como essas contas são usadas e garantindo que o acesso seja revogado quando não for mais necessário.
Monitore comportamentos anômalos
Mesmo com fortes controles preventivos implementados, as organizações precisam de visibilidade da atividade em todos os sistemas. A análise dos registros de acesso e o uso de análises comportamentais podem identificar padrões incomuns, como uma conta se conectando a sistemas que ela nunca acessou ou fazendo login em horários inesperados. A detecção precoce desses indicadores permite que as organizações contenham a movimentação lateral antes que os invasores acessem sistemas críticos.
Auditoria e regularização de contas
Contas inativas, principalmente as associadas a ex-funcionários ou serviços desativados, são frequentemente alvo de ataques porque geralmente não são monitoradas. A realização de auditorias regulares para identificar e desativar contas não utilizadas elimina esses pontos de entrada. As organizações também devem revisar periodicamente as permissões das contas ativas para que elas não tenham acumulado mais acesso do que o necessário para sua função.