Juni 9, 2022

Erkennen, Verhindern & Stoppen von Network Lateral Movement

  • Threat Detection
  • Network Detection and Response
  • Advanced Persistent Threats

Was ist Lateral Movement? 

Die wachsende Gefahr der Bedrohungsakteure geht einher mit der ständigen Weiterentwicklung und Innovation ihrer Tools und Techniken. Viele der heutigen Cyberangriffe sind keine einfachen Angriffe mehr, bei denen die Angreifer die endgültige Malware-Nutzlast an dem Eintrittspunkt freisetzen. Diese Opfer, in der Regel die PCs normaler User, sind in ihrer Reichweite zu begrenzt, um die ehrgeizigen Ziele der Angreifer zu erfüllen. Die Angreifer haben es auf hochwertige Güter wie sensible Daten, hoch privilegierte User, kritische Systeme und Server, Datenbanken und Quellcodes abgesehen, die ihnen einen hohen Gewinn versprechen oder es ihnen ermöglichen, kostspielige Geschäftsunterbrechungen zu verursachen. Um diese Ziele zu erreichen, müssen Angreifer ihre Reichweite in der kompromittierten Umgebung vergrößern. 

 

Seitliche Bewegungen (lateral movements) gehören zu der Phase, in der die Angreifer verschiedene Techniken einsetzen, um sich von ihrem Einstiegspunkt wegzubewegen und auf der Suche nach hochwertigen Objekten tiefer in das Netzwerk eindringen. 

 

Seitliche Bewegungen in der Cyber Kill Chain 

Seitliche Bewegungen sind Teil eines mehrstufigen Angriffsprozesses, der häufig in einer Cyber-Kill-Chain dargestellt wird, einem Modell, das die typischen Phasen eines Cyberangriffs abbildet. Trotz verschiedener Versionen der Cyber-Kill-Chain, enthalten die meisten laterale Bewegungen. Das spiegelt ihre Bedeutung bei modernen Angriffen wider. Bevor sie sich im Netz ausbreiten können, müssen die Angreifer mehrere Phasen durchlaufen, um eine solide Basis für die Ausweitung ihres Angriffs zu schaffen. 

Internal Reconnaissance: Nach dem ersten Einbruch nutzen Angreifer benutzerdefinierte Tools oder legitime Systemtools, um die Umgebung auszukundschaften, um zu erfahren wo sich wertvolle Ressourcen befinden und den Angriffspfad zu planen. 

Eskalation von Berechtigungen: Nach dem ersten Zugriff brauchen Angreifer erweiterte Berechtigungen, um weitere Aktionen durchzuführen. Zu den üblichen Methoden höhere Privilegien zu erhalten, gehören die Ausnutzung von Systemschwächen, Fehlkonfigurationen sowie von Sicherheitslücken.  

Zugang zu Anmeldeinformationen: Angreifer stehlen Anmeldedaten wie Kontonamen und Kennwörter, um Zugang zu Systemen zu erhalten, sie schwerer aufzuspüren und ihnen die Möglichkeit zu geben, weitere Konten zu erstellen, um ihre Ziele zu erreichen. 

 

Die Bedeutung von seitliche Bewegungen 

Verschiedene Untersuchungen deuten darauf hin, dass bei 60-70 % der Cyberangriffe eine seitliche Bewegung stattfindet [1][2][3]. Sobald die Angreifer in ein Netzwerk eingedrungen sind, bleiben sie dort und bewegen sich über einen Zeitraum von Wochen und Monaten von System zu System. Bei diesen langwierigen Angriffen, die als Advance Persistence Threats (APT) bezeichnet werden, verbringen die Angreifer bis zu 80 % des Angriffs in der Phase der seitlichen Bewegung, bevor sie ihr Ziel erreichen [4]. Eine frühzeitige Erkennung von Seitwärtsbewegungen würde einen Angriff vereiteln und ernsthafte Schäden für das Unternehmen verhindern.  

 

Seitliche Bewegungstechniken bei bekannten Cyber-Attacken 

Lateral Movement ist eine Taktik im MITRE ATT&CK (Adversary tactics, techniques, and common knowledge) Framework, mit neun zugehörigen Techniken. Diese Techniken wurden bei vielen aufsehenerregenden Cyberangriffen mit beeindruckender Wirkung eingesetzt und haben gezeigt, wie entscheidend sie für den Erfolg eines Angriffs sind. 

 

Nutzung von Remote-Diensten

Angreifer nutzen kritische Sicherheitslücken in weit verbreiteten Windows-Remote-Diensten aus, darunter SMB, RDP, Netlogon und Print Spooler. Es wurden hocheffektive Exploit-Tools entwickelt, um diese Schwachstellen auszunutzen, wie z. B. EternalBlue und EternalRomance, Tools, die von der US National Security Agency (NSA) entwickelt wurden. Diese Tools wurden mit verheerender Wirkung in mehreren aufsehenerregenden Malware-Kampagnen eingesetzt, insbesondere bei der WannaCry-Ransomware, Emotet und NotPeyta. 

 

Internes Spear-Phishing

Angreifer kompromittieren das E-Mail-Konto eines internen Users, um Malware an andere User im Unternehmen zu senden. Die Syrian Electronic Army (SEA) hatte zuvor einen Angriff auf die Financial Times (FT) gestartet. Nachdem FT den Angriff entdeckt hatte, versandte die IT-Abteilung E-Mails, um die Mitarbeiter vor der Bedrohung zu warnen. Die SEA startete daraufhin einen hinterlistigen Spear-Phishing-Angriff, indem sie diese Warn-E-Mails nachahmte, um noch mehr User zu kompromittieren. 

 

Seitlicher Transfer von Tools

Angreifer übertragen Tools oder bösartige Dateien zwischen Systemen über native Dateifreigabetools und -protokolle wie SMB/Windows Admin Shares, FTP, cmd und PsExec oder authentifizierte Verbindungen über RDP. Der Bedrohungsakteur DarkSide nutzte PsExec und RDP für laterale Bewegungen bei seinem Ransomware-Angriff auf die Colonial Pipeline [5], einem Angriff, der zu einer weit verbreiteten Knappheit und einem erheblichen Anstieg der Kraftstoffpreise führte.  

 

Remote Service Session Hijacking

Angreifer kapern bereits bestehende Sitzungen von Remote-Diensten wie Telnet, SSH und RDP, um Aktionen auf entfernten Systemen auszuführen. Der WannaCry-Ransomware-Angriff des nordkoreanischen Bedrohungsakteurs Lazarus infizierte rund 230.000 Menschen weltweit, darunter auch Telefonica und den NHS. WannaCry nutzte den Trojaner taskse.exe, um RDP-Sitzungen (Remote Desktop Protocol) aufzuzählen und die Malware in jeder Sitzung auszuführen [6]. 

 

Replikation über Wechseldatenträger
Angreifer kopieren Malware auf Wechseldatenträger oder verändern die vorhandenen ausführbaren Dateien. Wenn die Malware oder die modifizierte ausführbare Datei auf einem entfernten System ausgeführt wird, erhält der Angreifer Zugang zu diesem System. Anfang 2022 warnte das FBI, dass die russische APT-Gruppe FIN7 bösartige USB-Laufwerke an US-Unternehmen geschickt hatte, um sich in deren Systeme einzuhacken. 

 

Tools für die Softwarebereitstellung
Angreifer verschaffen sich Zugriff auf Software-Suites von Drittanbietern, die in einem Unternehmensnetzwerk installiert sind, und können so Remote-Code auf allen Remote-Systemen ausführen, auf denen die Software läuft. Bei einem Angriff kompromittierte die vietnamesische APT32 (auch bekannt als OceanLotus) die ePO-Infrastruktur von McAfee, um ihre Malware als Softwareverteilungsaufgabe zu verteilen, was dazu führte, dass alle angeschlossenen Systeme die Malware vom ePO-Server abzogen. 

 

 

Taint Shared Content

Angreifer kompilieren bösartige Programme, Skripte oder Exploit-Code in Dateien, die auf Netzlaufwerken oder anderen freigegebenen Speicherorten gespeichert sind. Sobald ein User eine freigegebene und  verseuchte Datei öffnet, wird der bösartige Teil auf dem entfernten System ausgeführt. Dadurch können sich Angreifern seitlich bewegen. Bei einem Angriff injizierte der Bedrohungsakteur Gamaredon bösartige Makros in alle Word- und Excel-Dokumente auf zugeordneten Netzlaufwerken. 

Alternatives Authentifizierungsmaterial verwenden

Angreifer stehlen alternatives Authentifizierungsmaterial wie Passwort-Hashes und Kerberos-Tickets mithilfe von Tools wie Mimikatz. Diese Pass the Hash (PtH)- und Pass the Ticket (PtT)-Techniken ermöglichen es Angreifern, die Systemzugangskontrollen zu umgehen, ohne die Klartext-Anmeldedaten zu kennen. Die mit Russland verbundene Conti-Ransomware-Bande setzte Mimikatz ein, um sich Zugriff zu dem irische Gesundheitssystem zu erhalten und sich einen autorisierten Zugang zu KP Snacks zu verschaffen. 


Seitliche Bewegungen erkennen und blockieren 
Da die Techniken der seitlichen Bewegung so vielfältig und ausgeklügelt sind, ist es nicht einfach, sich dagegen zu verteidigen. Wie genau erkennt man also eine seitliche Bewegung? 
Die meisten Unternehmen verfügen mindestens über eine Form von Sicherheitslösung oder eine Kombination von Lösungen, um ihr Netzwerk und ihre Systeme zu schützen, z. B. eine Firewall, IDPS, SIEM und EDR. Diese Lösungen tragen zwar zur Vorbeugung und Erkennung von Querbewegungen bei, gehen aber nicht auf den Kern der Querbewegung ein und sind in den meisten Fällen nicht ausreichend. 

 

Wo und warum andere Lösungen versagen 

 

FirewallS

Firewalls sind so konzipiert, dass sie ausschließlich den in einem Netz eintretenden und austretenden Verkehr (Nord-Süd-Verkehr) und nicht den Verkehr innerhalb des Netzes (Ost-West-Verkehr) überwachen und kontrollieren. Sie sind daher nicht in der Lage, seitliche Bewegungen zu erkennen und zu blockieren. 

 

IDPS: Intrusion Detection and Prevention Systems

Ähnlich wie Netzwerk-Firewalls verfügen sie über keine Erkennungsfunktionen auf Netzwerkebene und verlassen sich in erster Linie auf die signaturbasierte Erkennung bekannter Malware, die bei lateralen Bewegungen unter Umständen nicht zum Einsatz kommt. 

 

SIEM: Security Information and Event Management

ist eine Sicherheitslösung, die Echtzeitanalysen von Protokolldateien durchführt, um verdächtiges Verhalten zu erkennen. Doch nicht alle Aktivitäten erzeugen Protokolle. Vor allem versteckte Techniken, die Angreifer verwenden, um laterale Bewegungen durchzuführen, können von SIEMs nicht erkannt werden.  

 

EDR: Endpoint Detection and Response

Ist eine Sicherheitslösung, die Malware und bösartige Aktivitäten auf einem Endpunkt erkennt und darauf reagiert. Während Angriffe in der Regel bei Endgeräten beginnen, sind die verwendeten Dienste und Tools oft legitim, so dass sie die EDR-Erkennung umgehen können. Außerdem haben Angreifer die Möglichkeit, EDR-Software auf einem Endgerät zu erkennen und zu deaktivieren. Ebenso wenig schützen EDR-Lösungen nicht verwaltete Geräte und IoT-Geräte, die in modernen Unternehmensnetzwerken immer häufiger anzutreffen sind.  

 

Seitliche Bewegung mithilfe von NDR stoppen 

Das fehlende Teil des Sicherheits-Puzzles ist Network Detection and Response (NDR). NDR ist eine Sicherheitslösung, die den netzwerkweiten Datenverkehr (Ost-West und Nord-Süd) in Echtzeit überwacht und analysiert, um Malware und verhaltensbasierte bösartige Aktivitäten im Netzwerk zu erkennen und darauf zu reagieren. Angesichts der Tatsache, dass laterale Bewegungen auf der Netzebene stattfinden, stellt sich die Frage, wo man sie besser aufspüren kann als im Netz selbst.  

Wie NDR seitliche Bewegungen erkennt und darauf reagiert 

 

Detection

NDR sammelt und normalisiert den rohen Netzwerkverkehr in Echtzeit und extrahiert Verkehrsmetadaten an einem zentralen Ort der maschinellen Analyse. 

Eine grundlegende Technologie, die NDR zugrunde liegt, ist das maschinelle Lernen (ML). Um bösartige Netzwerkaktivitäten zu erkennen, erstellt und optimiert ML dynamisch Basismodelle der normalen Netzwerkaktivitäten für User, Dateien, Anwendungen, Endpunkte, Geräte und Server in der gesamten Umgebung. Bekannte Angriffsmuster und Verhaltensweisen werden mithilfe von integrierten Modellen für Taktiken, Techniken und Verfahren des Gegners erkannt.  

Die aus dem Netzwerkverkehr gewonnenen Metadaten werden mit KI-gestützter Verhaltens- und Statistikanalyse analysiert, um anomale Aktivitäten zu erkennen. Die Verhaltensanalyse stellt Querverweise zwischen früheren und Echtzeitdaten her, um scheinbar unverdächtige Ereignisse zu korrelieren. Mithilfe von Verhaltensanalysen identifiziert NDR Signale, die auf Aktionen von Usern hinweisen, die vom Muster abweichen, wie z. B. Standort oder Namenskonventionen. Anschließend werden Aktivitäten, Anwendungen und abgerufene Dateien untersucht, um Bedrohungen zu identifizieren. 

 

Response 

NDR ist nicht nur in der Lage, potenzielle Bedrohungen zu erkennen, sondern kann auch einen vollständigen Einblick in die Bedrohungshistorie geben, d. h. in die Zeitleiste bösartiger Aktivitäten, die die gesamte Cyber-Kill-Chain abdeckt. In diesem Fall können die Sicherheitsteams bei der Reaktion auf einen Vorfall ein breites Spektrum an Fragen beantworten. Sie können zum Beispiel antworten: Was hat das Asset oder das Konto vor der Warnmeldung getan? Wie verhielt es sich nach der Warnung? Wann begann die Situation zu eskalieren? Auf diese Weise verschafft NDR den Sicherheitsteams das nötige Wissen, um schnell reagieren und Abhilfe schaffen zu können.   

 NDR kann in andere Cybersicherheitslösungen integriert werden, um über SOAR (Security Orchestration, Automation and Response) automatisierte Reaktionen einzuleiten. Wenn beispielsweise bereits konfigurierte SOAR-Playbooks ausgelöst werden, kann NDR mit der Netzwerk-Firewall kommunizieren, um IP-Adressen zu blockieren, die als bösartig eingestuft werden, oder EDR anweisen, bestimmte Dienste, Prozesse und Ports zu blockieren und zu beenden, die Anzeichen für bösartige Aktivitäten aufweisen. 

 

 

Kombination von NDR mit bewährten Praktiken zur Verhinderung seitlicher Bewegungen  

Verschiedene bewährte Verfahren können Unternehmen dabei helfen, Seitwärtsbewegungen im Netz zu verhindern oder abzuschwächen. Diese Maßnahmen sind nicht narrensicher, aber sie können implementiert werden, um es den Angreifern zu erschweren und die Wirksamkeit von NDR weiter zu erhöhen. 

 

Segmentierung des Netzes

Bei der Netzsegmentierung wird ein Netz in zwei oder mehr Segmente unterteilt, um den Zugang zwischen verschiedenen Segmenten zu kontrollieren. Für kritische Geschäftssysteme können Segmente mit eingeschränkten Zugriffsrechten eingerichtet werden. Dadurch wird es für Angreifer schwieriger, diese Segmente zu erreichen und in sie einzudringen. Im Falle von NDR können für jedes Netzwerksegment Basismodelle erstellt werden, um das Erlernen normaler Netzwerkaktivitäten durch NDR zu optimieren, was zu einer genaueren Erkennung von anomalem Verhalten und einer Minimierung der Anzahl von Fehlalarmen führt. 

 

Ungenutzte Dienste/Funktionen deaktivieren

Deaktivieren Sie Dienste und Funktionen, die von Angreifern für laterale Bewegungen ausgenutzt werden können, z. B. SMB, RDP und Administratorfreigaben, wenn sie nicht verwendet werden. Dies kann durch den Einsatz einer einheitlichen Endpunktverwaltungssoftware für mehr Effizienz und eine gezielte Implementierung erreicht werden. Wenn NDR und EDR die Aktivität dieser Dienste aufzeichnen, nachdem sie deaktiviert wurden, ist dies ein deutlicher Hinweis auf bösartige Aktivitäten.  

 

References: 

[1] https://www.intelligentciso.com/2021/04/09/expert-says-cisos-need-to-take-lateral-movement-seriously 

[2] https://www.strongdm.com/blog/lateral-movement 

[3] https://www.vmware.com/resources/security/the-ominous-rise-of-island-hopping-counter-incident-response-continues.html 

[4] https://www.cynet.com/network-attacks/lateral-movement-challenges-apt-and-automation/ 

[5] https://www.trendmicro.com/en_us/research/21/e/what-we-know-about-darkside-ransomware-and-the-us-pipeline-attac.html 

[6] https://logrhythm.com/blog/a-technical-analysis-of-wannacry-ransomware/