
Lateral Movement: So stoppen Sie getarnte Angreifer rechtzeitig
von Tina Siering

Was ist Lateral Movement?
Beim Lateral Movement handelt es sich um Techniken eines Angreifers, um von einer kompromittierten Umgebung seitlich zu einer anderen innerhalb eines Netzwerks zu gelangen und Zugriff auf zusätzliche Ressourcen zu erhalten. Dies kann auf verschiedene Arten geschehen, zum Beispiel durch gestohlene Anmeldeinformationen, eine Phishing-Attacke oder das Ausnutzen von Sicherheitslücken. Das Ziel von Lateral Movement ist es, Zugriff auf sensible Daten oder Systeme zu erhalten, die vom ursprünglichen Einstiegspunkt aus möglicherweise nicht erreichbar waren. Es ist eine gängige Taktik, die schrittweise von Angreifern verwendet wird, um ihren Einflussbereich innerhalb eines Netzwerks zu erweitern und die möglichen Schäden zu erhöhen.
Zunächst stellt der Angreifer eine Verbindung zwischen dem ersten infizierten Rechner und einem Command & Control Server her. Über diese Verbindung ist es möglich, Befehle an alle infizierten Geräte zu versenden und gesammelte Daten zu empfangen. Nachdem der Bedrohungsakteur tiefer in das Netzwerk eingedrungen ist, beschafft er sich mithilfe unterschiedlicher Tools erweiterte Berechtigungen und stellt damit den dauerhaften Zugriff auf das Netzwerk sicher. Selbst wenn die Kompromittierung des ersten Computers auffliegen sollte, kann er sich dann als legitimer Benutzer immer noch unbemerkt durch die Systeme bewegen. Dabei sammelt er weitere Anmeldedaten, erweitert seine Zugriffsrechte und infiziert andere Rechner, bis er das eigentliche Ziel erreicht hat. Um die Kontrolle über das gesamte Netzwerk zu erhalten, beschafft er sich normalerweise die nötigen Administratorrechte. Die Verschlüsselung und/oder Entwendung von Daten findet oftmals erst Wochen oder Monate nach der ersten Infiltrierung statt.
Ziel des Lateral Movement ist, den Zugang zu festigen und gleichzeitig Informationen über das Netzwerk selbst zu erhalten. Die Methode ist weit verbreitet: Sie kommt bei rund 60 Prozent aller Cyberangriffe zum Einsatz. Zu den prominentesten Fällen der letzten Jahre zählten die SolarWinds-Attacke, die NotPetya-Vorfälle und der WannaCry-Angriff.
Bei welchen Angriffen nutzen Cyberkriminelle Lateral Movement?
1. Ransomware
Damit Hacker bei ihren Opfern mit einer Ransomware-Attacke möglichst ausreichend Druck aufbauen können, müssen sie möglichst hohe Berechtigungen innerhalb des Netzwerks erlangen. Bei Erfolg legen sie für den Geschäftsbetrieb notwendige Prozesse vorübergehend lahm und können oftmals hohe Lösegeldforderungen durchsetzen.
2. Datenexfiltration
Bei der Datenexfiltration verschieben oder kopieren Angreifer unbefugt wertvolle Unternehmensdaten. Dies tun sie aus unterschiedlichen Gründen, beispielsweise um an sensible Daten zu gelangen, Identitätsbetrug zu begehen oder Lösegeld zu erpressen. Zugang zu den Daten erhalten die Hacker in den meisten Fällen durch die laterale Bewegung vom ersten Einstiegspunkt zum Zielsystem.
3. Spionage
Spionage findet zum Beispiel zwischen verfeindeten Staaten oder konkurrierenden Unternehmen statt. Das Ziel eines Spionage-Angriffs ist nicht in erster Linie ein finanzieller Gewinn, sondern die verdeckte Beschaffung von Informationen. Es gilt also, sich so lange wie möglich unbemerkt im Netzwerk aufzuhalten und unter keinen Umständen entdeckt zu werden, um so viel wie möglich über das Opfer in Erfahrung zu bringen.
4. Botnet-Attacke
Bei einem Botnet-Angriff ermöglicht Lateral Movement die Integration von möglichst vielen Geräten in das Botnetz. Je mehr infizierte Rechner sich in einem Botnet befinden, umso mächtiger ist der Angriff. Cyberkriminelle nutzen Botnets unter anderem zum Versand von Spam, zur Verschlüsselung von Datenbanken oder für DDoS-Attacken, die Verzögerungen und Ausfälle von Diensten oder Servern herbeiführen.
So tarnen sich Hacker beim Lateral Movement
Cyberkriminelle, die sich lateral in einem Netzwerk bewegen, sind stets auf der Hut. Sobald sie bemerken, dass das IT Security-Team der Organisation den Angriff entdeckt und Gegenmaßnahmen eingeleitet hat, stellen sie ihre Aktivitäten erst einmal ein. Zu groß wäre das Risiko, dass die IT-Sicherheitsexperten die weiteren infizierten Geräte entdecken könnten. Erst wenn sich das Opfer in Sicherheit wiegt, führen sie ihre Aktionen fort.
Nicht selten richten Hacker auch sogenannte Backdoors ein. Werden sie ertappt und von allen Servern und Geräten entfernt, können sie sich über diese Hintertüren unter Umgehung der Zugriffssicherung jederzeit wieder Zugang zum Netzwerk verschaffen. Darüber hinaus können Angreifer ihre Bedrohungsaktionen so geschickt mit dem herkömmlichen Netzwerk-Traffic vermischen, dass den Administratoren keinerlei Anomalien auffallen. Je mehr legitime Anwenderkonten die Angreifer infiziert haben, desto unbemerkter können sie sich im Netzwerk bewegen.
Wie Sie Lateral Movement in Ihrem Netzwerk verhindern können
Mittels Lateral Movement gelingt es Angreifern, über Wochen oder gar Monate unentdeckt im Netzwerk zu bleiben und letztendlich große Schäden anzurichten. Umso wichtiger ist es, dass sich Unternehmen und Organisationen mit den folgenden Sicherheitsmaßnahmen vor der Angriffstaktik schützen:
Patch-Management
Mit einem effektiven Patch-Management gelingt es Ihnen, Sicherheitslücken in Ihren Systemen zeitnah und regelmäßig zu erkennen und zu schließen. Cyberkriminelle haben dann gar nicht erst die Chance, sich Zugang zu Ihrem Netzwerk zu verschaffen.
Multi-Faktor-Authentifizierung
Anmeldedaten sind für Hacker nutzlos, wenn der erfolgreiche Login zu einem Nutzerkonto aufgrund von Multi-Faktor-Authentifizierung zwei oder mehrere Berechtigungsnachweise erfordert – etwa ein Passwort in Kombination mit einer Sicherheitsfrage oder einem biometrischen Merkmal.
Netzwerksegmentierung
Die klassische Netzwerkstruktur eines Unternehmens besteht aus zwei Netzwerken: dem externen Netzwerk (= Internet) und dem internen Netzwerk (= LAN). Diese Struktur stellt eine Schwachstelle dar, die von Cyberkriminellen häufig ausgenutzt wird. Ist ein Mitarbeiter beispielsweise im Homeoffice zur gleichen Zeit mit dem WLAN des Hausanschlusses und dem VPN seines Arbeitgebers verbunden, können Hacker bei fehlenden Sicherheitsmechanismen Unternehmensdaten über den lokalen Internetanschluss unbemerkt exfiltrieren.
Selbst wenn der Mitarbeiter nur begrenzte Berechtigungen hat, ist es prinzipiell möglich, dass sich Betrüger Zugang zum gesamten Firmennetzwerk inklusive Administrator-Account verschaffen. Daher gilt zum einen: Sobald eine VPN-Verbindung hergestellt wird, muss die Verbindung mit dem lokalen Internet getrennt werden. Zum anderen sollten Unternehmen ihr Netzwerk in mehrere Segmente aufteilen und somit interne Systeme voneinander abschotten. Diese Netzwerksegmentierung verhindert, dass sich Angreifer ungehindert via Lateral Movement von einem Rechner zum nächsten bewegen können.
Umgesetzt wird die Netzwerksegmentierung durch physikalisch voneinander getrennte Netzwerkstrukturen sowie klar definierte Sicherheitszonen innerhalb der Organisation. Jeder Sicherheitszone werden dabei bestimmte Sicherheitsmechanismen zugeordnet, die für den Zugriff auf Ressourcen in dieser Zone erfüllt werden müssen. Die Herausforderungen in großen Netzen ohne ausreichende Netzsegmentierung lassen sich mithilfe einer Mikrosegmentierung bewältigen, bei der Regelwerke pro Server aufgesetzt werden.
Managed Detection and Response (MDR) Service
MDR-Services wie der Active Cyber Defense (ACD)-Service von Allgeier secion setzen auf die proaktive Angriffserkennung im Netzwerk. ACD enttarnt bösartige Angreiferkommunikation zu Command & Control Servern zuverlässig und identifiziert Kompromittierungen rechtzeitig. Durch die kontinuierliche Analyse des Netzwerk-Traffics deckt das externe SOC-Team von Allgeier secion maliziöses Verhalten unverzüglich auf, sodass sich infizierte Systeme schnell isolieren und bereinigen lassen. Damit erhalten Hacker gar nicht erst die Chance, sich via Lateral Movement monatelang unbemerkt im Netzwerk zu bewegen.
Fazit
Mit Lateral Movement ist es Cyberkriminellen möglich, sich vom Einstiegspunkt aus unbemerkt innerhalb eines Netzwerks auszubreiten, indem sie sich in der infizierten Umgebung von Rechner zu Rechner bewegen und dabei ihre Rechte immer mehr ausweiten. Sind die Eindringlinge erst einmal in Besitz der Administratorrechte, ist ihr Netzwerk-Traffic von normalem Traffic kaum noch zu unterscheiden, was eine Enttarnung massiv erschwert.
Um den Schaden einer Cyberattacke so gering wie möglich zu halten, ist es jedoch wichtig, dass eine Kompromittierung mithilfe von wirksamen Schutzmaßnahmen so schnell wie möglich eingedämmt und aufgedeckt wird. Als äußerst effektiv erweist sich dabei die Netzwerksegmentierung, bei der das Netzwerk in mehrere Subnetze unterteilt wird, sodass sich unbefugte Nutzer nicht ungehindert ausdehnen können und ihnen so der Zugang zu wertvollen Assets verwehrt bleibt. Noch besser ist es jedoch, wenn eine Cyberattacke bereits unmittelbar nach der ersten Kompromittierung entdeckt wird. Möglich ist das mit Active Cyber Defense von Allgeier secion: Der Managed Detection and Response (MDR) Service überwacht Ihr Netzwerk rund um die Uhr und ermöglicht so den proaktiven Schutz vor Cyberattacken.