Wat is ‘lateral movement’ en hoe kan je dit voorkomen?

5 juli 2024

Aanval­lers gebruiken vaak phishing of misbruiken onge­patchte kwets­baar­heden om toegang te krijgen tot een bedrijfs­ap­pli­catie. Na deze ‘initial access’ nemen aanval­lers de iden­ti­teit van een legitieme gebruiker aan en dringen ze steeds dieper door tot verschil­lende delen van het netwerk van de orga­ni­satie. Daar kunnen ze vervol­gens gegevens stelen, systemen en databases lamleggen en/​of mani­pu­leren, of andere aanvallen uitvoeren. Deze aanval­st­ac­tiek, waarbij aanval­lers zich gelei­de­lijk steeds verder een weg banen binnen een netwerk, staat bekend als ‘lateral movement’.

Aanval­lers slaan dus niet direct toe, maar proberen onop­ge­merkt en zo lang mogelijk op de achter­grond te doen wat ze willen doen. Het doel van de meeste cyber­cri­mi­nelen is om data te stelen of te versleu­telen om zo losgeld af te dwingen: de bekende ransom­ware-aanval. Hoe langer aanval­lers onop­ge­merkt in het netwerk van een slacht­offer zitten, des te meer data, infor­matie en toegangs­rechten zij kunnen bemach­tigen – dit vergroot de poten­tiële schade. Een veel gebruikte aanpak wordt ‘vulne­ra­bi­lity chaining’ genoemd. Hierbij worden verschil­lende kwets­baar­heden aan elkaar gekoppeld. In een recent rapport worden de meest misbruikte kwets­baar­heden samengevat.

Bij lateral movement worden verschil­lende tech­nieken gebruikt, bijvoorbeeld:

  • Exploi­tatie van externe services: hierbij maken aanval­lers misbruik van kwets­baar­heden of zwakke punten in externe services of systemen om onge­au­to­ri­seerde toegang te krijgen, data te stelen of andere scha­de­lijke acti­vi­teiten uit te voeren.
  • Interne spear phishing: bij deze aanvals­tech­niek probeert een aanvaller gevoelige infor­matie te verkrijgen door middel van doel­ge­richte en geper­so­na­li­seerde e‑mails of berichten.
  • Lateral tool transfer: een proces waarbij een aanvaller tools of malware overzet van het ene geïn­fec­teerde systeem naar een ander systeem binnen hetzelfde netwerk.
  • Remote hijacking: het overnemen van een device, systeem of netwerk vanaf een externe locatie.
  • Remote Desktop Protocol (RDP): hiermee kan een gebruiker (of een aanvaller) een computer op afstand bedienen. Een aanvaller kan deze func­ti­o­na­li­teit misbruiken door zich bijvoor­beeld voor te doen als een medewerker.
  • Inloggen op cloud­ser­vices: inloggen op cloud diensten of platforms met gestolen gebrui­kers­ge­ge­vens. Zodra een aanvaller toegang heeft tot een cloud service, wordt van daaruit gepro­beerd binnen te dringen bij andere services.
  • Appli­ca­tion Access Token mani­pu­latie: een access token is een unieke reeks karakters dat wordt gebruikt als bewijs van authen­ti­catie of toestem­ming voor toegang tot een bepaalde appli­catie of dienst. Een aanvaller kan access tokens mani­pu­leren zodat het lijkt alsof een toegangs­proces is gestart door een andere (legitieme) gebruiker.

Snelle detectie is cruciaal

De tijd die nodig is voor lateral movement staat bekend als ‘breakout time’. Als een aanval binnen deze tijd kan worden tegen­ge­houden, kunnen de kosten, schade en mogelijke bedrijfs­on­der­bre­kingen aanzien­lijk worden beperkt of helemaal worden voorkomen.

Bedrijven kunnen geavan­ceerde Lateral Movement TTP’s (Tactics, Tech­ni­ques and Proce­dures) herkennen en stoppen met:

  • Real-time moni­to­ring van de IT omgeving: moderne moni­to­ring­op­los­singen, zoals Managed Detection and Response (MDR), kunnen afwij­kende acti­vi­teiten detec­teren – bijvoor­beeld een gebruiker die inlogt op een appli­catie waarop hij normaal niet inlogt, regel­wij­zi­gingen binnen appli­ca­ties of andere afwij­kende acti­vi­teiten van een gebruiker in de IT-infra­struc­tuur. Door te monitoren op dit soort acti­vi­teiten en deze te matchen met de hierboven genoemde tech­nieken en bijbe­ho­rende gedrags­pa­tronen, kunnen bedrijven vroeg­tijdig laterale bewe­gingen detec­teren. Aanval­lers die zich zonder toestem­ming door de IT-omgeving bewegen, kunnen zo op tijd worden gestopt.
  • Gedrags­ana­lyse: aangezien veel TTP’s gebruik­maken van breed toegan­ke­lijke tools en gecom­pro­mit­teerde gebrui­kers­ac­counts, is het nood­za­ke­lijk om geavan­ceerde gedrags­ana­lyses uit te voeren. Hiermee kunnen afwij­kingen en kwaad­aar­dige bedoe­lingen worden geïdentificeerd.

Het herkennen en stoppen van lateral movement is niet makkelijk. Maar juist omdat cyber­cri­mi­nelen via deze tactiek diep kunnen door­dringen in de IT-infra­struc­tuur, zijn tegen­maat­re­gelen belang­rijk. Deze kunnen het verschil maken tussen slechts een aanvals­po­ging of een succes­volle hack waarbij een bedrijf wordt lamgelegd of aanval­lers erin slagen om systemen en data te versleu­telen en losgeld te eisen.

Als een aanvaller ongemerkt in bedrijfs­sys­temen weet te komen en pas later wordt ontdekt, is snelheid nog steeds essen­tieel. Uitge­breide incident respons maat­re­gelen kunnen de (finan­ciële) schade beperken, voorkomen uitval van systemen en bepreken de impact op de bedrijfscontinuïteit.

Conclusie

Het is niet altijd mogelijk om een cyber­aanval te voorkomen – cyber­cri­mi­nelen vallen zo veel mogelijk orga­ni­sa­ties aan, tot ze succes hebben. Orga­ni­sa­ties doen er daarom goed aan om een MDR-oplossing te imple­men­teren. Hiermee wordt het moei­lijker voor aanval­lers om dieper door te dringen in het netwerk en wordt de impact van een cyber­aanval beperkt.

Dan Schiappa

Dan Schiappa is Chief Product Officer bij Arctic Wolf

Arctic Wolf cybersecurity IT-security lateral movement security

Pin It on Pinterest

Share This