zurück zur Übersicht

Lateral Movement: Catch me if you can

Lateral Movement: Wenn Daten-Diebe sich im Netzwerk umschauenAngriffe auf Ressourcen in Unternehmen bergen ein großes Gefahrenpotenzial. Berühmte Opfer von Angriffen waren Sony im Jahre 2011 und kürzlich erst die Firma Mossack Fonseca & CO. Die Angreifer erbeuteten Millionen von Kundendaten, sowie Geschäftsdaten. Nicht nur das Unternehmen, sondern auch die Kunden waren Opfer eines Datendiebstahles. Diese Angriffe haben einen großen Imageschaden verursacht, sodass sich Kunden von den Firmen distanziert haben und zur Konkurrenz gewechselt sind. Die Angreifer werden immer versierter und schwerer zu fassen. Umso wichtiger ist es, möglichst frühzeitig die Spuren zu erkennen, die Angreifer hinterlassen – idealerweise noch während des Angriffes.

Einbrecher brauchen Zeit und Übersicht

Um zu verstehen wie Angreifer vorgehen, betrachten wir zunächst das Beispiel eines Wohnungseinbruchs. Ein Einbrecher knackt erst einmal das Schloss der Eingangstür, deaktiviert die Alarmanlage und betritt das Haus. Doch bevor irgendein Schaden entsteht, muss der Dieb sich eine Übersicht über seine potenzielle Beute verschaffen. Was lohnt es sich mitzunehmen? Erst dann entwendet der Dieb Schmuck und andere wertvolle Gegenstände und verlässt das Haus durch den Hintereingang. Ähnlich geht es bei Cyber-Angriffen zu. Diese sind auch in mehrere Phasen unterteilt, denn fortschrittliche Angriffstechniken beanspruchen oft viel Zeit. Ein Angriff kann sich somit über Monate hinziehen.

Übersetzt man dieses Beispiel in die Cyber-Security-Welt, dann bricht der Angreifer am Perimeter ein, baut einen Standpunkt im Inneren des Netzwerkes auf und stellt dann eine Backdoor-Verbindung zu einem Command-and-Control-Server her, um Toolkits oder anderen Payload herunterzuladen. Dies gehört zur Infiltrationsphase des Angriffs in der sich der Angreifer Zugang zu einem Netzwerk verschafft, diesen ausbaut und sichert. Nach dieser Phase erkundet der Angreifer das Netzwerk (Lateral Movement) auf der Suche nach nützlichen Ressourcen und Angriffswegen, um Zugangsdaten (Credentials/Tokens) zu stehlen oder privilegierten Zugriff auf wertvolle Daten und Ressourcen zu erlangen. Bis zu dieser Phase ist an sich kaum Schaden entstanden, da noch keine Daten entwendet wurden. Hat der Angreifer genügend Informationen über ein Netzwerk gesammelt, um sich einen guten Überblick zu verschaffen, und hat er alle notwendigen Credentials und Berechtigungen erlangt, kann er die Kronjuwelen des Unternehmens ins Visier nehmen. Es beginnt die Exfiltrationsphase, in der das Diebesgut zusammengetragen und aus dem Netzwerk ausgeschleust wird. Genau hier entsteht erst der eigentliche Schaden. Es ist also wichtig, einen Angriff vor der Exfiltration der Daten zu erkennen und zu stoppen. Die Erkennung von Lateral Movement liefert dazu einen wichtigen Beitrag.

Lateral Movement richtig erkennen

Um Lateral Movement und Privilege Escalation rechtzeitig zu entdecken müssen Angriffswege identifizieren werden, die Angreifer üblicherweise in einem Netzwerk nehmen. Zudem muss die Verweilzeit des Angreifers im Netz so weit wie möglich eingeschränkt werden (Cyber Dwell Time), um seinen Handlungsspielraum einzuschränken und Schäden zu minimieren.

Mittels Portscanning und Netzwerksniffern verschaffen sich Angreifer meist einen Überblick über das Netzwerk. Fehlende Netzwerksegmentierung (wie eine Next Generation Firewall sie erlauben würde) und laxe Firewallregeln erlauben es dem Angreifer, sich problemlos und unentdeckt durch das Netzwerk zu bewegen.

Werden Systeme nicht regelmäßig gepatcht und gehärtet, eröffnet dies dem Angreifer die Möglichkeit bekannte Schwachstellen auszunutzen, um sich Zugriff auf Systeme zu verschaffen. Schwachstellenscanner wie Nessus von Tenable können präventiv benutzt werden, um bestehende Schwachstellen aufzuspüren und zu schließen.

Zentrale Überwachung des Datenverkehrs und selbstlernende Systeme

Indem alle System- und Anwendungslogs zentral in einen SIEM (Security Information and Event Management) gesammelt und ausgewertet werden, kann auffälliges Benutzerverhalten identifiziert werden. Häufig geben Indizien wie Logins zu ungewöhnlichen Tageszeiten oder seltsame Datentransfers erste Anhaltspunkte für einen laufenden Angriff. Netzwerkbasierte Erkennungssysteme ergänzen die Funktionen eines SIEMs weiter. Dazu werden an den Grenzen verschiedener Netzwerksegmente und am Perimeter zum Internet passive Sniffer platziert. Diese schneiden den Datenverkehr mit und analysieren das Kommunikationsverhalten im Netzwerk mit Hilfe von Algorithmen zum maschinellen Lernen und zur Erkennung von Verhaltensmustern. Abnormales Verhalten wie es typischerweise beim Lateral Movement in der frühen Phase eines Angriffs auftritt, kann so mit hoher Zuverlässigkeit erkannt werden. Der Angreifer wird quasi aufgespürt, während er noch die Schmuckschatulle sucht.

All diese Sicherheitsmechanismen dienen auch dazu, das Ziel für Angreifer uninteressant zu machen. Angreifer können schnell feststellen, wie schwierig es ist in einem Netzwerk voranzukommen. Zwar sind fast immer monetarisierbare Daten vorhanden und könnten letztlich vielleicht auch exfiltriert werden. Der Aufwand an Zeit und Rafinesse, um den Schutzmechanismen lang genug zu entkommen um signifikante Daten zu stehlen ist jedoch enorm. Auch Angreifer versuchen ihre Ressourcen effizient einzusetzen. Wie Einbrecher jenseits des Cyberspace entscheidet sich die Mehrzahl im Zweifel für das leichtere Opfer. In einer Top gesicherten Villa mit eigener Wachmannschaft ist zwar mehr zu holen, aber das Risiko dort einzubrechen ist ungleich höher als bei einem gut situierten Einfamilienhaus ohne Alarmanlage.

Schreibe einen Kommentar