Laterale beweging is een methode waarbij hackers diepgaand een netwerk infiltreren na een initiële toegang, vaak door kwetsbaarheden of gestolen inloggegevens te exploiteren. Ze voeren netwerkverkenningen uit, escaleren hun privileges, en breiden hun toegang uit door systemen en accounts te compromitteren. Laterale bewegingstechnieken worden veel gebruikt in geavanceerde cyberaanvallen zoals APT’s (advanced persistent threats).
Dit proces omvat het stelen van verdere inloggegevens, het misbruiken van systeemzwakheden, en uiteindelijk het verkrijgen van beheerdersrechten voor volledige netwerkcontrole. hackers richten zich op het behouden van toegang en vermengen hun activiteiten met normaal netwerkverkeer om detectie te vermijden.
De hacker gebruikt deze technieken om toegang te krijgen tot andere systemen vanaf een gecompromitteerd computer en toegang te krijgen tot gevoelige bronnen, zoals mailboxen, gedeelde mappen of referenties. Deze kunnen op hun beurt worden gebruikt om andere systemen te compromitteren, voor privilege-escalatie of om meer waardevolle referenties te stelen. Dit type aanval kan uiteindelijk toegang geven tot de domeincontroller en volledige controle verschaffen over een Windows-gebaseerde infrastructuur of bedrijfsgerelateerde beheerdersaccounts.
Hackers verzamelen informatie over de omgeving en proberen tegelijkertijd extra inloggegevens te stelen, misconfiguraties uit te buiten of softwarekwetsbaarheden te isoleren om dieper in het netwerk door te dringen. De hacker gebruikt laterale beweging dan om controlepunten in het geïnfecteerde netwerk te beheren. Deze extra posities helpen de hacker om persistentie te behouden, zelfs als een beveiligingsteam hen op een gecompromitteerde machine detecteert.
Een real life scenario
Laterale beweging begint met een eerste toegangspunt tot het netwerk. Dit ingangspunt kan een met malware geïnfecteerde machine zijn die verbinding maakt met het netwerk, een gestolen set gebruikersgegevens (gebruikersnaam en wachtwoord), een misbruik van een kwetsbaarheid via een open poort van een server of een aantal andere aanvalsmethoden. Eenmaal voet aan de grond op een apparaat binnen het netwerk, voeren hackers verkenningen uit. Ze komen zoveel mogelijk te weten over het netwerk, inclusief waartoe het aangetaste apparaat toegang heeft en, als ze een gebruikersaccount hebben aangetast, welke rechten de gebruiker heeft.
De volgende stap voor de hacker om lateraal te gaan is een proces dat “privilege-escalatie” wordt genoemd. Privilege-escalatie is wanneer een gebruiker (legitiem of illegitiem) meer privileges krijgt dan hij zou moeten hebben. Privilege-escalatie gebeurt soms per ongeluk in identiteits- en toegangsbeheer (IAM) wanneer gebruikersprivileges niet correct worden bijgehouden en toegewezen. hackers maken daarentegen doelbewust misbruik van zwakke plekken in systemen om hun privileges op een netwerk te laten escaleren.
Als ze een netwerk zijn binnengedrongen via een kwetsbaarheid of malware-infectie, kunnen hackers een keylogger gebruiken (die bijhoudt welke toetsen gebruikers intypen) om gebruikersgegevens te stelen. Of ze kunnen een netwerk zijn binnengedrongen door inloggegevens te stelen tijdens een phishingaanval. Hoe ze het ook te pakken krijgen, hackers beginnen met één set gebruikersgegevens en de privileges die bij dat gebruikersaccount horen. Vervolgens verspreiden ze zich naar andere machines en gebruiken ze tools voor het stelen van referenties om andere accounts over te nemen.
Om het soort toegang te krijgen dat nodig is om maximale schade aan te richten of hun doelwit te bereiken, heeft de hacker meestal beheerdersrechten nodig. Daarom bewegen ze zich zijdelings door het netwerk totdat ze beheerdersrechten hebben verkregen. Als deze rechten eenmaal zijn verkregen, geeft dit ze in feite de controle over het hele netwerk.
Tijdens het proces van laterale verplaatsing let de hacker waarschijnlijk goed op tegenmaatregelen van het beveiligingsteam van de organisatie. Als de organisatie bijvoorbeeld een malware-infectie ontdekt op een server en die server afsluit van de rest van het netwerk om de infectie in quarantaine te plaatsen, kan de hacker enige tijd wachten met het uitvoeren van verdere acties zodat zijn aanwezigheid niet wordt gedetecteerd op andere apparaten.
Hackers kunnen backdoors installeren om ervoor te zorgen dat ze het netwerk weer kunnen betreden als hun aanwezigheid is gedetecteerd en succesvol is verwijderd van alle eindpunten en servers. (Een achterdeur is een geheime toegang tot een anders beveiligd systeem). Hackers proberen ook hun activiteiten te mengen met normaal netwerkverkeer, omdat ongebruikelijk netwerkverkeer beheerders kan waarschuwen voor hun aanwezigheid. Het mengen wordt gemakkelijker naarmate ze meer legitieme gebruikersaccounts compromitteren.
Uiteindelijk gaan ze door totdat een specifiek doel is bereikt. Dit kan ransomware installeren zijn, exfiltratie van gegevens of botnet infectie.
Laterale beweging detecteren
Zoals bovenstaand scenario al laat zien is de laterale beweging een essentiële tool van een hacker. Zodoende is het detecteren van de technieken die duiden op laterale beweging van enorm belang. En daarmee ook het besef dat er meer dan één benadering is om dit type activiteit te identificeren. In veel gevallen kan het een combinatie van benaderingen vereisen om te identificeren wanneer een actieve hacker zich verplaatst in uw omgeving.
Hoewel het detecteren van zijwaartse beweging binnen uw omgeving geen eenvoudige taak is, zijn er meerdere methoden die u kunnen waarschuwen voor verdachte activiteiten met betrekking tot zijwaartse bewegingstechnieken en die context kunnen bieden die het onderzoeksproces ondersteunt.
Door gebruik te maken van zowel real-time monitoring als gedragsanalyse kunt u direct potentieel schadelijke activiteiten identificeren en dergelijke activiteiten onderzoeken met contextueel bewijs. We zullen deze twee mogelijkheden eens uit elkaar halen om beter te begrijpen hoe ze samenwerken.
Real-time monitoring zorgt voor het effectief verzamelen, normaliseren en correleren van data in een omgeving, wat leidt tot real-time waarschuwingen die verdachte activiteiten kunnen identificeren. Dit helpt bij het waarnemen van de ontwikkeling van een dreiging.
Gedragsanalyse biedt een unieke kijk op de activiteit van gebruikers en netwerkentiteiten om significante afwijkingen van normaal gedrag aan te pakken. Gebruikers- en entiteitsgedragsanalyse (UEBA) gebruikt machine learning om normaal gedrag en significante afwijkingen te identificeren, wat onderzoek naar verdachte activiteiten ondersteunt.
Omdat elke detectiemethode een uniek perspectief biedt en verschillende eisen stelt aan middelen en timing, is het belangrijk om niet alleen afhankelijk te zijn van één enkele methode die al dan niet de juiste aanpak is voor elk scenario. Voor sommige scenario’s is mogelijk alleen realtime alarmering nodig om laterale bewegingstechnieken efficiënt te detecteren, terwijl voor geavanceerdere aanvallen zowel alarmering als onderzoek door middel van gedragsanalyse nodig kan zijn om met vertrouwen een kwaadwillende actor te identificeren.
Voorkomen is beter dan genezen
Deze preventieve maatregelen kunnen laterale beweging veel moeilijker maken voor aanvallers:
Penetratietests kunnen organisaties helpen kwetsbare delen van het netwerk af te sluiten die laterale verplaatsing mogelijk kunnen maken. Bij penetratietesten huurt een organisatie een ethische hacker in om hun beveiliging te stresstesten door te proberen zo diep mogelijk in het netwerk door te dringen zonder ontdekt te worden. De hacker deelt vervolgens zijn bevindingen met de organisatie, die deze informatie kan gebruiken om de beveiligingslekken te repareren die de hacker heeft misbruikt.
Zero Trust beveiliging is een netwerkbeveiligingsfilosofie waarbij standaard geen enkele gebruiker, apparaat of verbinding wordt vertrouwd. Een Zero Trust netwerk gaat ervan uit dat alle gebruikers en apparaten een bedreiging vormen en authenticeert zowel gebruikers als apparaten voortdurend opnieuw. Zero Trust gebruikt ook een least-privilege benadering voor toegangscontrole en verdeelt netwerken in kleine segmenten. Deze strategieën maken privilege-escalatie veel moeilijker voor aanvallers en maken het detecteren en in quarantaine plaatsen van de initiële infectie veel eenvoudiger voor beveiligingsbeheerders.
Eindpuntbeveiliging houdt in dat eindpuntapparaten (desktopcomputers, laptops, smartphones, etc.) regelmatig worden gescand met anti-malware software en andere beveiligingstechnologieën.
Om ongeoorloofde bewegingen binnen je netwerk te voorkomen en te beschermen, geven we je enkele beste practices.
- Beperk privileges: Geef elke gebruiker alleen toegang tot noodzakelijke systemen, applicaties of netwerksegmenten.
- Whitelisting: Evalueer zorgvuldig applicatieverzoeken van gebruikers en beperk die met bekende kwetsbaarheden.
- EDR-beveiliging: Endpoint Detection and Response (EDR) oplossingen monitoren endpoints en verzamelen data om patronen van hackers te identificeren.
- Solide wachtwoordbeheer: Implementeer sterk en uniek wachtwoordbeleid voor alle geprivilegieerde systemen en accounts.
- Multi-factor authenticatie (MFA): Voeg een extra beveiligingslaag toe bovenop de standaard gebruikersnaam en wachtwoord authenticatie.
Deze maatregelen vergroten de weerbaarheid tegen ongeautoriseerde toegang en bewegingen binnen het netwerk.
Meer Informatie
Wil u meer lezen over het Gebruikers- en entiteitsgedragsanalyse (UEBA) of ZTNA? Lees er meer over in ons blog.
Onze partners Exabeam en Fortinet zijn marktleiders als het gaat om respectievelijk Endpoint Security en ZeroTrust Networking. Mocht u vragen hebben, onze cybersecurity specialisten staan u graag te woord.
