Laterale bewegingen: het succes van recente malware
Laterale bewegingen worden nog te vaak genegeerd, ondanks dat zij de belangrijkste factor zijn achter de onverwacht grote schaal van cyberaanvallen in de laatste jaren. Wat zijn laterale bewegingen eigenlijk? Waarom gebruiken zo weinig organisaties deze techniek die ook vaak gebruikt wordt door cybercriminelen zelf? En hoe kunt u zichzelf hiertegen beschermen?
Het doel: verkrijg privileges
Als een vector voor de verspreiding van malware zoals WannaCry en NotPetya, heeft de laterale movement-techniek een grote bijdrage geleverd aan het success van deze aanvallen. Het principe van deze techniek is privileges te verkrijgen op een client-computer. Bedenk daarbij dat privileges rechten zijn die toegewezen worden aan een gebruiker. Die rechten geven de gebruiker vervolgens toegang tot computermiddelen. Dit komt doorgaans overeen met de verschillende profielen die op een client-computer kunnen worden gevonden: het gastprofiel, dat enkel tijdelijke toegangsrechten heeft tot een beperkt aantal applicaties; het gebruikersprofiel, dat alleen het gebruik van het client-werkstation autoriseert; en het administrator profiel, dat alle rechten heeft: gebruik, installatie, modificatie en het verwijderen van applicaties en settings.
Als een hacker eenmaal toegang heeft tot een machine op het bedrijfsnetwerk, is zijn doel om connection identifiers te vinden - ook bekend als credentials - die hem nog meer rechten zullen geven om kwaadaardige activiteiten uit te voeren. De eerste stap in dit proces is de inzet van een soort spyware die ook wel bekend staat als “Credential dumper”. Deze spyware verzamelt andere credentials die zich op de machine bevinden. Vervolgens zal het checken of een van deze credentials meer toegangsrechten heeft dan de credentials die al in bezit zijn.
Deze login credentials worden vaak opgeslagen in de cache van de clientcomputer zodra iemand zich erop heeft geauthenticeerd met een methode die deze credentials op de computer deponeert. Dit zijn login credentials die corresponderen met andere profielen, zoals bijvoorbeeld dat van een IT-werknemer die een paar dagen geleden een probleem opgelost heeft op de betreffende clientcomputer.
De tweede stap is het herhalen van deze activiteit, maar deze keer op machines die middels de eerste poging toegankelijk zijn geworden. Het doel is om nog meer credentials te verzamelen die nog meer privileges hebben om verder zodoende meer toegang en controle te krijgen binnen de omgeving.
Een erg populaire techniek omdat het simpel is
Deze techniek is erg populair bij hackers omdat het niet veel middelen of significante toegang vanaf de start vereist. Alles dat nodig is, is om toegang te krijgen tot een machine om vervolgens hun privileges uit te breiden via het verkennen van andere verbonden apparaten.
Het ultieme doel is om de controles van zoveel mogelijk machines over te nemen, met de hoogst mogelijke privileges, om een netwerk van computers klaar te hebben staan om een aanval te lanceren.
Het is bijvoorbeeld veel gemakkelijker op te zetten dan een netwerkaanval, grotendeels omdat het een aanvalsoppervlak is dat grotendeels wordt onderschat door IT-afdelingen, voor wie zichtbaarheid in de omgeving vaak erg moeilijk is.
Oplossingen bestaan!
Gelukkig kunnen organisaties zichzelf goed beschermen door de volgende simpele concrete stappen te nemen. De eerste, die voor de hand ligt, is om de administratorrechten op de werkstations goed te beheren. De tweede stap, die ook heel eenvoudig is, is om het SMB-protocol tussen client-computers te sluiten, omdat het een machine in staat stelt het netwerk te verkennen op zoek te gaan naar andere machines. Dit is de belangrijkste vector voor de verspreiding van malware door middel van laterale bewegingen. Een andere maatregel die men kan nemen is het opzetten van authenticatie met een tijdelijk (random) wachtwoord voor het lokale administrator profiel. Op deze manier is het voor de aanvaller niet mogelijk om het gevonden wachtwoord te hergebruiken aangezien deze maar eenmaal ingezet kan worden.
Ook het versterken van de training van IT-afdelingen in deze hacking-technieken is een goede maatregel. Vaak geven IT’ers de voorkeur aan het gebruiken van hun eigen profiel dat maximale rechten heeft, in plaats van het account te gebruiken dat slechts voldoende rechten heeft om een bewerking uit te voeren. Zelfs als dit niet nodig is voor het betreffende onderhoud. Het risico van dit onzorgvuldige gedrag is dat een hacker deze inloggegevens tegenkomt, hij zeer snel een account met de maximale rechten zal herstellen, waardoor hij snel de controle kan krijgen over alle machines op het netwerk.
Een ander gat dat moet worden opgevuld, is het gebrek in inzicht dat IT-afdelingen hebben op de machines in hun netwerk. Door dit gebrek aan inzicht kunnen security-afdelingen niet weten welke credentials op welke machines staan. Met een nauwkeuriger zicht zou het mogelijk moeten zijn om te zien welke sessies nog in de cache staan op computers en servers, en deze snel te verwijderen om de laterale beweging van de aanval te blokkeren.
Gezien het succes van recente malware-aanvallen, moeten organisaties snel actie ondernemen om deze maatregelen te implementeren. Hierdoor zijn ze beter voorbereid en kunnen ze beter voorkomen dat cybercriminelen de controle over hun netwerk overnemen met behulp van de laterale movement-techniek.
Door: Damien Benazet, Director, Technical Account Manager bij Tanium