Aanvallers gebruiken vaak phishing of misbruiken ongepatchte kwetsbaarheden om toegang te krijgen tot een bedrijfsapplicatie. Na deze ‘initial access’ nemen aanvallers de identiteit van een legitieme gebruiker aan en dringen ze steeds dieper door tot verschillende delen van het netwerk van de organisatie. Daar kunnen ze vervolgens gegevens stelen, systemen en databases lamleggen en/of manipuleren, of andere aanvallen uitvoeren. Deze aanvalstactiek, waarbij aanvallers zich geleidelijk steeds verder een weg banen binnen een netwerk, staat bekend als ‘lateral movement’.
Aanvallers slaan dus niet direct toe, maar proberen onopgemerkt en zo lang mogelijk op de achtergrond te doen wat ze willen doen. Het doel van de meeste cybercriminelen is om data te stelen of te versleutelen om zo losgeld af te dwingen: de bekende ransomware-aanval. Hoe langer aanvallers onopgemerkt in het netwerk van een slachtoffer zitten, des te meer data, informatie en toegangsrechten zij kunnen bemachtigen – dit vergroot de potentiële schade. Een veel gebruikte aanpak wordt ‘vulnerability chaining’ genoemd. Hierbij worden verschillende kwetsbaarheden aan elkaar gekoppeld. In een recent rapport worden de meest misbruikte kwetsbaarheden samengevat.
Bij lateral movement worden verschillende technieken gebruikt, bijvoorbeeld:
- Exploitatie van externe services: hierbij maken aanvallers misbruik van kwetsbaarheden of zwakke punten in externe services of systemen om ongeautoriseerde toegang te krijgen, data te stelen of andere schadelijke activiteiten uit te voeren.
- Interne spear phishing: bij deze aanvalstechniek probeert een aanvaller gevoelige informatie te verkrijgen door middel van doelgerichte en gepersonaliseerde e-mails of berichten.
- Lateral tool transfer: een proces waarbij een aanvaller tools of malware overzet van het ene geïnfecteerde systeem naar een ander systeem binnen hetzelfde netwerk.
- Remote hijacking: het overnemen van een device, systeem of netwerk vanaf een externe locatie.
- Remote Desktop Protocol (RDP): hiermee kan een gebruiker (of een aanvaller) een computer op afstand bedienen. Een aanvaller kan deze functionaliteit misbruiken door zich bijvoorbeeld voor te doen als een medewerker.
- Inloggen op cloudservices: inloggen op cloud diensten of platforms met gestolen gebruikersgegevens. Zodra een aanvaller toegang heeft tot een cloud service, wordt van daaruit geprobeerd binnen te dringen bij andere services.
- Application Access Token manipulatie: een access token is een unieke reeks karakters dat wordt gebruikt als bewijs van authenticatie of toestemming voor toegang tot een bepaalde applicatie of dienst. Een aanvaller kan access tokens manipuleren zodat het lijkt alsof een toegangsproces is gestart door een andere (legitieme) gebruiker.
Snelle detectie is cruciaal
De tijd die nodig is voor lateral movement staat bekend als ‘breakout time’. Als een aanval binnen deze tijd kan worden tegengehouden, kunnen de kosten, schade en mogelijke bedrijfsonderbrekingen aanzienlijk worden beperkt of helemaal worden voorkomen.
Bedrijven kunnen geavanceerde Lateral Movement TTP’s (Tactics, Techniques and Procedures) herkennen en stoppen met:
- Real-time monitoring van de IT omgeving: moderne monitoringoplossingen, zoals Managed Detection and Response (MDR), kunnen afwijkende activiteiten detecteren – bijvoorbeeld een gebruiker die inlogt op een applicatie waarop hij normaal niet inlogt, regelwijzigingen binnen applicaties of andere afwijkende activiteiten van een gebruiker in de IT-infrastructuur. Door te monitoren op dit soort activiteiten en deze te matchen met de hierboven genoemde technieken en bijbehorende gedragspatronen, kunnen bedrijven vroegtijdig laterale bewegingen detecteren. Aanvallers die zich zonder toestemming door de IT-omgeving bewegen, kunnen zo op tijd worden gestopt.
- Gedragsanalyse: aangezien veel TTP’s gebruikmaken van breed toegankelijke tools en gecompromitteerde gebruikersaccounts, is het noodzakelijk om geavanceerde gedragsanalyses uit te voeren. Hiermee kunnen afwijkingen en kwaadaardige bedoelingen worden geïdentificeerd.
Het herkennen en stoppen van lateral movement is niet makkelijk. Maar juist omdat cybercriminelen via deze tactiek diep kunnen doordringen in de IT-infrastructuur, zijn tegenmaatregelen belangrijk. Deze kunnen het verschil maken tussen slechts een aanvalspoging of een succesvolle hack waarbij een bedrijf wordt lamgelegd of aanvallers erin slagen om systemen en data te versleutelen en losgeld te eisen.
Als een aanvaller ongemerkt in bedrijfssystemen weet te komen en pas later wordt ontdekt, is snelheid nog steeds essentieel. Uitgebreide incident respons maatregelen kunnen de (financiële) schade beperken, voorkomen uitval van systemen en bepreken de impact op de bedrijfscontinuïteit.
Conclusie
Het is niet altijd mogelijk om een cyberaanval te voorkomen – cybercriminelen vallen zo veel mogelijk organisaties aan, tot ze succes hebben. Organisaties doen er daarom goed aan om een MDR-oplossing te implementeren. Hiermee wordt het moeilijker voor aanvallers om dieper door te dringen in het netwerk en wordt de impact van een cyberaanval beperkt.
Dan Schiappa, Chief Product Officer bij Arctic Wolf