Что такое горизонтальное перемещение?

Горизонтальное перемещение — это метод, который злоумышленники используют для продвижения по сети после получения первоначального доступа к системе. Вместо того чтобы оставаться на одном скомпрометированном устройстве, злоумышленники переключаются на другие компьютеры, серверы или облачные ресурсы, чтобы расширить свой доступ, повысить привилегии и получить доступ к конфиденциальным данным или критически важной инфраструктуре. Этот метод часто используется в сложных кибератаках, включая атаки с применением программ-вымогателей и утечки данных, поскольку он позволяет злоумышленникам расширить масштаб и влияние вторжения.

Почему киберпреступники перемещаются горизонтально?

Киберпреступники редко останавливаются на первой взломанной системе. Вместо этого они используют этот первоначальный плацдарм для исследования более широкой среды и выявления более ценных целей внутри сети. Благодаря такому исследованию злоумышленники могут лучше понять, как связаны между собой системы и где хранятся конфиденциальные данные.

Доступ к системам с высокой ценностью

Первоначальный доступ часто осуществляется через менее ценные конечные точки, такие как рабочие станции сотрудников. Затем злоумышленники перемещаются по сети, чтобы получить доступ к системам, хранящим конфиденциальные данные, таким как базы данных, файловые серверы или финансовые системы. Эти системы часто содержат информацию, которую можно украсть, изменить или использовать для нарушения бизнес-операций. Расширяясь за пределы исходной точки входа, злоумышленники увеличивают потенциальное воздействие взлома и получают доступ к более важным ресурсам. Доступ к системам с высокой критической важностью также позволяет злоумышленникам обеспечивать устойчивое присутствие в сети и совершать вредоносные действия без немедленного обнаружения.

Повышение привилегий

Многие системы ограничивают доступ стандартного аккаунта. Чтобы преодолеть эти ограничения, злоумышленники пытаются получить более высокие уровни разрешений при перемещении по сети. Этот процесс может включать такие методы, как эксплуатация уязвимостей программного обеспечения или кража учетных данных. Повышение привилегий позволяет злоумышленникам получить контроль над дополнительными системами, доступ к ограниченным данным и работать с меньшими ограничениями. Обладая повышенными привилегиями, злоумышленники могут обходить меры безопасности, создавать новые аккаунты или модифицировать системы, чтобы укрепить свои позиции в среде.

Доступ к контроллерам домена или критической инфраструктуре

В корпоративных средах доменные контроллеры и административные системы играют центральную роль в управлении доступом и аутентификацией. Злоумышленники часто нацеливаются на эти системы, чтобы получить широкий контроль над сетью. Поскольку эти системы управляют идентификацией пользователей и их правами доступа, их взлом может позволить злоумышленникам выдавать себя за законных пользователей и свободнее перемещаться по среде. На этом уровне доступа злоумышленники могут нарушать работу сервисов или поддерживать долгосрочный контроль над системами.

Использование программ-вымогателей или похищение данных

Когда злоумышленники перемещаются по сети, они часто приближаются к завершающей стадии атаки. После выявления ценных активов злоумышленники могут развернуть программы-вымогатели на нескольких системах или похитить конфиденциальные данные. Распространение программ-вымогателей, одновременно на нескольких системах, может затруднить восстановление и усилить давление на организации с целью выплаты выкупа. Перемещаясь по сети горизонтально, злоумышленники могут максимально нарушить работу и повысить эффективность атаки.

Типичные этапы горизонтального перемещения

Горизонтальное перемещение обычно происходит по структурированной схеме по мере расширения доступа злоумышленников в сети.

Первоначальная компрометация

Атака начинается с момента компрометации системы, что может произойти посредством фишинга, использования уязвимостей или применения украденных учетных данных. Эта первоначальная точка входа предоставляет атакующим отправную точку внутри сети.

Внутренняя разведка

Попав внутрь, злоумышленники собирают информацию об окружающей среде. Сюда входит картографирование сети, определение критически важных систем, обнаружение аккаунтов пользователей и доверительных отношений. Информация, собранная на этом этапе, помогает злоумышленникам определить, куда двигаться дальше и какие системы наиболее ценны.

Доступ к учетным данным

Злоумышленники пытаются получить действительные учетные данные, которые позволят им аутентифицироваться в других системах. Это может включать в себя слив учетных данных, сбор паролей или кражу токенов. Использование действительных учетных данных помогает злоумышленникам маскироваться под обычный сетевой трафик и избегать срабатывания системных предупреждений.

Повышение привилегий

Получив доступ к дополнительным аккаунтам, злоумышленники пытаются расширить свой уровень доступа, используя некорректные настройки или злоупотребляя служебными аккаунтами. Более высокие привилегии позволяют злоумышленникам контролировать больше систем, получать доступ к конфиденциальным ресурсам и выполнять действия, которые обычно были бы запрещены.

Горизонтальный переход

Имея расширенные права доступа, злоумышленники перемещаются между системами внутри сети. Это может включать доступ к файловым серверам, вход в среду Active Directory или доступ к контроллерам домена. В некоторых случаях злоумышленники могут также перейти в подключенные облачные или гибридные среды, расширяя масштаб атаки.

Выполнение задачи

Как только злоумышленники достигают целевой системы, они приступают к выполнению задачи. Это может включать эксфильтрацию данных, развертывание программ-вымогателей или создание механизмов постоянного присутствия для обеспечения непрерывного доступа.

Типичные методы при горизонтальном перемещении

Злоумышленники используют различные методы для перемещения между системами, сводя к минимуму обнаружение:

  • «Передай хэш»: Злоумышленники повторно используют украденные хеши паролей для аутентификации в других системах без необходимости вводить оригинальный пароль. Эта техника характерна для сред, использующих аутентификацию NTLM, и имеет ограниченную эффективность там, где строго применяется Kerberos.
  • «Передай тикет»: Тикеты Kerberos используются для выдачи себя за легитимных пользователей и получения доступа к сетевым ресурсам.
  • Протокол удаленного рабочего стола (RDP): Злоумышленники используют действительные учетные данные для удаленного доступа к системам через RDP — легитимный протокол удаленного доступа, который часто становится целью атак, поскольку широко распространен в корпоративных средах.
  • Инструментарий управления Windows (WMI): Злоумышленники используют этот встроенный инструмент Windows для удаленного выполнения команд на разных системах.
  • Удаленный доступ к PowerShell: Эта техника позволяет выполнять команды и скрипты на удаленных машинах.
  • Эксплуатация SMB: Злоумышленники используют протоколы обмена файлами для перемещения между системами.
  • Кража SSH-ключей и перехват сессии: В средах Linux злоумышленники могут украсть закрытые ключи SSH для аутентификации в других системах или злоупотреблять переадресацией агента SSH для захвата активных сессий. Это разные методы, которые обе эксплуатируют доверительные отношения в SSH.
  • Бинарные файлы, использующие ресурсы операционной системы (LOLBins): Легитимные системные инструменты используются для осуществления вредоносной активности, одновременно сливаясь с обычными операциями.

Почему горизонтальное перемещение трудно обнаружить

Обнаружить горизонтальное перемещение может быть сложно, поскольку злоумышленники часто полагаются на легитимные учетные данные и встроенные административные инструменты, а не на очевидную вредоносную деятельность.

В результате эти действия могут быть похожи на действия обычных пользователей, например, вход в системы или доступ к внутренним ресурсам. Это позволяет злоумышленникам сливаться с обычным сетевым трафиком и избегать срабатывания традиционных оповещений системы безопасности.

Понимание принципов горизонтального перемещения имеет важное значение, но организациям также необходимо уметь обнаруживать горизонтальное перемещение до того, как злоумышленники достигнут критически важных систем.

Как предотвратить горизонтальные перемещения

Организации могут предотвратить горизонтальное перемещение, ограничив возможности злоумышленников перемещаться между системами после первоначального взлома. Эффективная защита от горизонтального перемещения основана на ограничении ненужного доступа, контроле сетевого трафика и мониторинге подозрительной активности.

Доступ по принципу наименьших привилегий

Обеспечение доступа по принципу «минимальных привилегий» — один из наиболее эффективных способов предотвращения горизонтального перемещения. Каждый пользователь и сервисный аккаунт должен иметь только те разрешения, которые необходимы для их конкретной роли. Это гарантирует, что в случае взлома одного аккаунта злоумышленники не смогут использовать его для доступа к системам и ресурсам, выходящим за рамки возможностей этого аккаунта. Организациям следует регулярно пересматривать и корректировать эти разрешения, чтобы предотвратить постепенное расширение доступа с течением времени.

Сегментация сети

Сегментация сети ограничивает горизонтальное перемещение, разделяя сеть на изолированные зоны, гарантируя, что нарушение в одной области не приведет к автоматическому доступу в другие. Микросегментация усиливает этот подход, ограничивая трафик между отдельными системами только теми соединениями, которые явно необходимы. Это вынуждает злоумышленников преодолевать дополнительные препятствия на каждом этапе, предоставляя группам безопасности больше времени для обнаружения попыток горизонтального перемещения и реагирования на них.

Укрепление средств аутентификации

Строгий контроль аутентификации снижает риск перемещения данных в другие стороны, снижая эффективность украденных учетных данных. Многофакторная аутентификация (MFA) добавляет уровень проверки, который предотвращает доступ злоумышленников к аккаунтам только с использованием скомпрометированных паролей. Организациям также следует отказаться от использования общих или стандартных учетных данных, которые часто становятся целью злоумышленников. Для аккаунтов с расширенными привилегиями решение Privileged Access Management (PAM) обеспечивает дополнительную защиту, контролируя, когда и как используются эти аккаунты, и гарантируя отзыв доступа, когда он больше не нужен.

Мониторинг аномального поведения

Даже при наличии строгих превентивных мер контроля организациям необходимо отслеживать активность в своих системах. Анализ журналов доступа и использование поведенческой аналитики могут помочь выявить необычные закономерности, например, подключение аккаунта к системам, к которым она ранее не обращалась, или вход в систему в неожиданное время. Раннее выявление этих признаков позволяет организациям сдерживать горизонтальное перемещение злоумышленников до того, как они достигнут критически важных систем.

Аудит и очистка аккаунтов

Неактивные аккаунты, особенно те, которые связаны с бывшими сотрудниками или с закрытыми сервисами, часто становятся целью злоумышленников, поскольку они зачастую остаются без присмотра. Проведение регулярных аудитов для выявления и отключения неиспользуемых аккаунтов устраняет эти точки входа. Организациям также следует периодически проверять права активных аккаунтов, чтобы убедиться, что они не накопили больше доступа, чем необходимо для их работы.

Отказаться от согласия с использованием cookie-файловМы ценим вашу конфиденциальность

Мы используем файлы cookie на нашем веб-сайте, чтобы предоставить вам наилучшие возможности при просмотре веб-страниц, предоставлять персонализированную рекламу наших продуктов и контента, а также анализировать трафик веб-сайта. Чтобы узнать больше, ознакомьтесь с нашей Политикой конфиденциальности.

Подпишитесь на бесплатный пробный период

Купить сейчас