O movimento lateral refere-se à técnica usada pelos agentes de ameaças para navegar através de uma rede ou sistema comprometido, movendo-se furtivamente de um host para outro. Ao contrário dos ataques tradicionais que visam um único ponto de entrada, o movimento lateral permite que os atacantes espalhem a sua influência, expandam o seu controlo e acedam a activos valiosos dentro da rede. É uma fase crucial de um ataque APT, permitindo que os atacantes mantenham a persistência e alcancem os seus objetivos.
Os invasores utilizam a técnica de movimento lateral por vários motivos, incluindo estabelecimento de persistência, acesso a alvos de alto valor, aumento de privilégios, exfiltração de dados e fuga de controles de segurança.
O movimento lateral envolve uma série de estágios pelos quais os invasores passam para se infiltrar e expandir seu controle dentro de uma rede. Esses estágios normalmente incluem:
Técnica de Ataque | Caracteristicas principais | Relação com Movimento Lateral |
Ataques de phishing | Técnicas de engenharia social para extrair informações confidenciais | O movimento lateral pode envolver o uso de credenciais roubadas |
malwares | Software malicioso para roubo, interrupção ou acesso não autorizado de dados | O movimento lateral pode utilizar malware para propagação ou persistência |
Ataques DoS/DDoS | Sobrecarregue os sistemas alvo com tráfego excessivo | Nenhum alinhamento direto com movimento lateral |
Ataques man-in-the-middle | Interceptar e manipular comunicação para interceptação ou alteração | O movimento lateral pode incluir interceptação como parte da técnica |
Injeção de SQL | Explorar vulnerabilidades de aplicativos da web para acesso não autorizado | O movimento lateral pode alavancar credenciais comprometidas ou bancos de dados |
Script entre sites (XSS) | Injete scripts maliciosos em sites confiáveis para execução arbitrária de códigos ou roubo de informações | Nenhum alinhamento direto com movimento lateral |
Engenharia social | Manipular indivíduos para divulgar informações confidenciais ou realizar ações | O movimento lateral pode envolver engenharia social no compromisso inicial |
Ataques de senha | Técnicas como ataques de força bruta ou de dicionário para quebra de senhas | O movimento lateral pode aproveitar credenciais comprometidas ou roubadas |
Ameaças persistentes avançadas (APTs) | Ataques sofisticados e direcionados para acesso persistente e objetivos específicos | O movimento lateral é uma fase crítica dentro dos APTs |
Explorações de dia zero | Visar vulnerabilidades desconhecidas antes que os patches estejam disponíveis | O movimento lateral pode incorporar explorações de dia zero como parte de sua técnica |
À medida que a sofisticação das ameaças cibernéticas continua a evoluir, a compreensão das técnicas e métodos utilizados no movimento lateral torna-se fundamental para estratégias de defesa eficazes.
Ao compreender estas técnicas, as organizações podem implementar medidas de segurança proativas, tais como controlos de acesso robustos, gestão de vulnerabilidades e formação de sensibilização dos utilizadores, para mitigar os riscos associados ao movimento lateral e proteger os seus ativos críticos contra intrusos cibernéticos.
Aqui estão as técnicas mais comuns envolvidas em ataques de movimento lateral:
Os ataques Pass-the-Hash exploram a maneira como o Windows armazena as credenciais do usuário na forma de valores com hash. Os invasores extraem hashes de senha de sistemas comprometidos e os utilizam para autenticar e obter acesso a outros sistemas na rede. Ao contornar a necessidade de senhas em texto simples, os ataques PtH permitem que os invasores se movam lateralmente sem a necessidade de roubo contínuo de credenciais.
Aproveitamento de ataques Pass-the-Ticket Kerberos tickets de autenticação para se moverem lateralmente dentro de uma rede. Os invasores adquirem e abusam de tickets válidos obtidos de sistemas comprometidos ou roubados de usuários legítimos. Com esses tickets, eles podem autenticar e acessar sistemas adicionais, contornando os mecanismos tradicionais de autenticação.
O sequestro de RDP envolve a manipulação ou exploração do Remote Desktop Protocol, que permite aos usuários se conectarem a sistemas remotos. Os invasores têm como alvo sistemas com RDP habilitado, exploram vulnerabilidades ou usam credenciais roubadas para obter acesso não autorizado. Uma vez lá dentro, eles podem navegar lateralmente conectando-se a outros sistemas ou utilizando o host comprometido como ponto de lançamento para novos ataques.
O roubo e a reutilização de credenciais desempenham um papel significativo no movimento lateral. Os invasores empregam vários métodos, como keylogging, phishing ou força bruta, para roubar credenciais válidas. Uma vez obtidas, essas credenciais são reutilizadas para autenticação e movimentação lateral pela rede, aumentando potencialmente os privilégios e acessando alvos de alto valor.
Explorar vulnerabilidades é uma técnica comum usada em movimentos laterais. Os invasores têm como alvo sistemas não corrigidos ou configurações incorretas para obter acesso não autorizado. Explorar vulnerabilidades permite que eles se movam lateralmente, comprometendo hosts adicionais, aproveitando pontos fracos em software ou configurações de rede.
A propagação de malware é outro método predominante empregado no movimento lateral. Os invasores implantam software malicioso, como worms ou botnets, na rede comprometida. Essas instâncias de malware se propagam de um sistema para outro, auxiliando os invasores na navegação e na expansão do controle dentro da rede.
Em um dos ataques cibernéticos mais proeminentes, os hackers obtiveram acesso à rede da Target Corporation por meio de um fornecedor terceirizado. Eles então usaram técnicas de movimento lateral para navegar pela rede, aumentar privilégios e, eventualmente, comprometer os sistemas de ponto de venda (POS). Os invasores exfiltraram informações de cartão de crédito de aproximadamente 40 milhões de clientes, causando perdas financeiras significativas e danos à reputação da Target.
Neste ataque de alto perfil, hackers que se acredita estarem ligados à Coreia do Norte infiltraram-se na rede da Sony Pictures. As técnicas de movimento lateral permitiram que eles se movimentassem pela rede, obtendo acesso a dados confidenciais, incluindo filmes inéditos, e-mails de executivos e informações pessoais de funcionários. O ataque interrompeu as operações comerciais e resultou na divulgação de dados confidenciais, causando danos financeiros e à reputação substanciais.
O NotPetya ransomware O ataque começou com o comprometimento do mecanismo de atualização de uma empresa de software de contabilidade na Ucrânia. Uma vez lá dentro, os invasores utilizaram técnicas de movimento lateral para espalhar rapidamente o malware na rede da organização. O malware se propagou lateralmente, criptografando sistemas e interrompendo operações de inúmeras organizações em todo o mundo. NotPetya causou bilhões de dólares em danos e destacou o potencial devastador do movimento lateral na disseminação de ransomware.
O ataque à SolarWinds envolveu o comprometimento da cadeia de fornecimento de software, especificamente a plataforma de gerenciamento de TI Orion distribuída pela SolarWinds. Através de um sofisticado ataque à cadeia de abastecimento, os agentes da ameaça inseriram uma atualização maliciosa que passou despercebida durante vários meses. Técnicas de movimento lateral foram empregadas para mover-se lateralmente dentro das redes de organizações que usavam o software comprometido. Este ataque altamente sofisticado afetou inúmeras agências governamentais e organizações privadas, provocando violações de dados, espionagem e repercussões duradouras.
Estes exemplos do mundo real ilustram o impacto dos ataques de movimento lateral em organizações de diferentes setores. Eles demonstram como os invasores utilizam movimentos laterais para navegar nas redes, aumentar privilégios, acessar dados valiosos e causar danos financeiros e à reputação significativos.
Detectando e impedindo o movimento lateral ataques é crucial para que as organizações protejam suas redes e ativos valiosos. Aqui estão algumas estratégias eficazes para detectar e prevenir movimentos laterais:
Compreender os potenciais pontos de entrada para ataques de movimento lateral é crucial para que as organizações fortaleçam as suas defesas de forma eficaz. Ao identificar e mitigar estas vulnerabilidades, as organizações podem melhorar a sua postura de segurança e reduzir o risco de ataques de movimento lateral bem-sucedidos.
Credenciais fracas ou comprometidas
Senhas fracas, reutilização de senhas ou credenciais comprometidas obtidas por meio de ataques de phishing ou violações de dados representam um ponto de entrada significativo para movimentos laterais. Os invasores aproveitam essas credenciais para se moverem lateralmente na rede, muitas vezes aumentando os privilégios ao longo do caminho.
Vulnerabilidades não corrigidas
Softwares ou sistemas não corrigidos abrigam vulnerabilidades que podem ser exploradas por invasores para obter acesso inicial e executar movimentos laterais. A falha na aplicação de patches e atualizações de segurança deixa os sistemas suscetíveis a vulnerabilidades conhecidas que os agentes de ameaças podem explorar para se infiltrar na rede.
Configurações de segurança mal configuradas
Configurações de segurança inadequadas, como controles de acesso fracos, firewalls mal configurados ou permissões de usuário configuradas incorretamente, criam caminhos para movimentos laterais. Os invasores exploram essas configurações incorretas para se mover lateralmente, aumentar privilégios e acessar recursos confidenciais.
Técnicas de Engenharia Social
Técnicas de engenharia social, incluindo phishing, isca ou pretexto, manipulam os indivíduos para que divulguem informações confidenciais ou executem ações que auxiliam no movimento lateral. Ao enganar os usuários para que divulguem credenciais ou executem anexos maliciosos, os invasores ganham uma posição segura e navegam pela rede.
Ameaças internas
Insiders com acesso autorizado à rede também podem facilitar ataques de movimento lateral. Pessoas internas mal-intencionadas ou indivíduos cujas credenciais tenham sido comprometidas podem explorar seu acesso legítimo para se movimentar lateralmente, contornando as medidas tradicionais de segurança perimetral.
Redes locais (LAN)
As redes locais fornecem um terreno fértil para movimentos laterais devido à natureza interconectada dos dispositivos e sistemas. Uma vez dentro da LAN, os invasores podem explorar vulnerabilidades ou aproveitar credenciais comprometidas para navegar pela rede e acessar sistemas adicionais.
Redes sem fio
Redes sem fio mal protegidas ou mal configuradas oferecem um ponto de entrada para ataques de movimento lateral. Os invasores têm como alvo as redes sem fio para obter acesso à rede e iniciar atividades de movimento lateral, especialmente quando os dispositivos se conectam a redes com e sem fio.
Ambientes de nuvem
Os ambientes em nuvem, com a sua natureza distribuída e serviços interligados, podem ser vulneráveis ao movimento lateral. Configurações incorretas, controles de acesso fracos ou credenciais de nuvem comprometidas podem permitir que invasores se movam lateralmente entre recursos de nuvem e sistemas locais.
Dispositivos da Internet das Coisas (IoT)
Dispositivos IoT configurados de forma insegura ou sem correção apresentam pontos de entrada potenciais para movimentos laterais. Dispositivos IoT vulneráveis, muitas vezes sem controlos de segurança robustos, podem servir como trampolim para os atacantes se infiltrarem na rede e realizarem atividades de movimento lateral.
Sistemas locais
Sistemas legados ou locais que não passaram por atualizações de segurança regulares ou que não possuem controles de segurança adequados podem ser alvo de movimentação lateral. Os invasores exploram vulnerabilidades nesses sistemas para obter acesso inicial e dinamizar a rede.
O Plano de Ação Global para Saúde Mental XNUMX-XNUMX da Segurança Zero Trust modelo está revolucionando a forma como as organizações se defendem contra ataques de movimento lateral. Ao eliminar a suposição de confiança nas redes, Confiança zero reduz o risco de movimento lateral não autorizado, concentrando-se em algumas áreas principais:
Verificação de Identidade
Zero Trust enfatiza a verificação rigorosa de identidade e autenticação de dispositivos para cada tentativa de acesso, independentemente da localização. Somente usuários autenticados e autorizados têm acesso, reduzindo o potencial de movimentação lateral não autorizada.
Micro-Segmentação
A microssegmentação divide as redes em segmentos menores com controles de acesso granulares. Ao aplicar rigorosamente segmentação de identidade, o movimento lateral é restrito, limitando o impacto de possíveis violações.
Monitoramento contínuo
Zero Trust promove monitoramento contínuo e análise em tempo real das atividades da rede. Comportamentos anômalos indicativos de movimento lateral são prontamente detectados, permitindo resposta e contenção rápidas.
Acesso com Menos Privilégios
Zero Trust segue o princípio do menor privilégio, garantindo aos usuários o acesso mínimo necessário. As tentativas de acesso não autorizado são rapidamente identificadas e evitadas, reduzindo o risco de movimento lateral.
Avaliação de confiança dinâmica
Zero Trust avalia dinamicamente os níveis de confiança durante as interações de rede. A avaliação contínua do comportamento do usuário e da integridade do dispositivo garante uma verificação contínua, minimizando o risco de movimento lateral.