SFIO CRACHO - stock.adobe.com
Bedrohungen: Lateral Movement im Netz frühzeitig erkennen
Sind Angreifer erst einmal ins Netzwerk eingedrungen, bewegen sie sich dort oft seitwärts, um beispielsweise mehr Rechte zu erlangen. Diese Bewegungen gilt es zu identifizieren.
Der jüngste Anstieg bei erfolgreichen Ransomware-Attacken zeigt: Cyberkriminelle haben den Fokus auf sehr gezielte Unternehmensangriffe verlagert und nutzen dazu Taktiken und Techniken aus dem APT-Playbook (Advanced Persistent Threat). APT-Techniken sind weit verbreitet, aber noch lange nicht Schnee von gestern. Bei den aktuellen Cyberangriffen kann man sinnfällig beobachten, wie risikobehaftet und anfällig schlecht gesicherte Netzwerke und Systeme sind. Diese Art von Angriffen ist mit herkömmlichen Mitteln extrem schwer zu stoppen. Sie konzentrieren sich in erster Linie auf den Missbrauch/Diebstahl von Anmeldeinformationen, gefolgt von der typischen schleichenden lateralen Bewegung im Netz, um sich zu wichtigen Assets vorzuarbeiten. Letztendliches Ziel ist es, ungehindert auf Systeme und Daten zuzugreifen - mit potenziell katastrophalen Folgen für ein Unternehmen.
Das schiere Ausmaß des SolarWinds-Angriffs demonstriert, dass herkömmliche Strategien und Technologien bei APTs oder hochentwickelter Ransomware an ihre Grenzen stoßen. Ein weiteres Beispiel ist der spektakuläre Angriff auf den US-Betreiber Colonial Pipeline. Verantwortlich war die DarkSide-Erpressungssoftware. Nur eine Woche nach der Cyberattacke auf die größte Pipeline in den USA gab es in Irland den womöglich schwersten Hackerangriff in der Geschichte des Landes. Ziel war der öffentliche Gesundheitsdienst HSE. Vorsorglich wurden alle Systeme heruntergefahren, in den Krankenhäusern alle nicht-dringenden Termine abgesagt. Weltweit gibt es zahlreiche Ransomware-Angriffe, auch in Deutschland sind sie ein weit verbreitetes Phänomen, vor dem keine Branche gefeit ist. Das gilt nicht zuletzt auch für kritische Infrastrukturen.
Das Lateral Movement ist eine typische Komponente moderner Cyberangriffe. Wer sie nicht erkennt und stoppt, bleibt mithin anfällig. Firmen sollten diesbezüglich ihre Strategien überdenken und von Menschen ausgeführte Angriffe stoppen, während sich die Eindringlinge durch das Netzwerk bewegen.
Warum gibt es Lateral-Movement-Angriffe?
Mit vielversprechenden Optionen gehen oft weitreichende Entwicklungen einher – die Lateral Movement-Angriffe der 2020er Jahre sind weit raffinierter als je zuvor. Mittlerweile ist die Technik so verbreitet, dass sie auch bei fast allen anderen Arten von Cyberangriffen eingesetzt wird. Inzwischen ist zwar die Zeitspanne, die Firmen benötigen, um ein Eindringen in das Netzwerk zu erkennen, von 418 Tagen im Jahr 2011 auf 78 Tage im Jahr 2019 gesunken. Aber, sobald ein Angreifer in der Lage ist, einen „Brückenkopf“ einzurichten, kann er einem Unternehmen massiv schaden oder es sogar aus dem Markt drängen.
Es gibt mehrere Gründe, warum Lateral-Movement-Angriffe weiterhin stattfinden:
- Die schiere Ausdehnung der Angriffsfläche erschwert es, Angreifer daran zu hindern, einen Brückenkopf zu errichten.
- Angreifer haben Zugriff auf ausgesprochen ausgefeilte Tools und;
- die bestehenden Sicherheitskontrollen, um ein Lateral Movement zu erkennen und zu stoppen sind begrenzt beziehungsweise relativ einfach zu umgehen.
Zuletzt hat auch die Corona-Pandemie dazu beigetragen, die Angriffsfläche deutlich zu verbreitern. WFH-Szenarien (Work from Home) gehen deutlich über das hinaus, was Sicherheitsteams bisher zu bewältigen hatten. Heimnetzwerke verfügen selten über die gleichen Sicherheitskontrollen wie Unternehmensnetze, von Sicherheits-Appliances bis hin zu Management-Software. Mitarbeiter werden so zu einem attraktiven Ziel für Angreifer. Gelingt es, in einem Heimnetzwerk einen solchen Brückenkopf einzurichten, ist der Weg zu Unternehmens-Assets frei. Remote Working hat aber noch einen zweiten Nebeneffekt. Ein bisher als normal definiertes Benutzerverhalten weicht jetzt erheblich von der Baseline ab. Das führt zu einer signifikanten Zunahme der Fehlalarme. In der Praxis wird es sehr diffizil, eine Grundlinie für die verhaltensbasierte Erkennung festzulegen, wenn sich das Verhalten so gut wie aller Benutzer geändert hat.
Dazu kommt: Tools haben sich schon an die verbreiterte Angriffsfläche angepasst. RaaS (Ransomware as a Service) ist nur ein Beispiel. Sie erlaubt es einem Angreifer auf ein ausgefeiltes existierendes Tool-Set zuzugreifen. Im Gegenzug wird dem RaaS-Betreiber ein Teil der „Einnahmen“ abgetreten.
Aktuelle Sicherheitskontrollen konzentrieren sich eher auf den Perimeter, sind ihrer Natur nach defensiv und stützen sich bei der Erkennung auf Signaturen und Anomalien. Wenn es einem Angreifer gelingt, den Perimeter zu umgehen, ist es für ihn vergleichsweise einfach, sich lateral im Netz zu bewegen, ohne entdeckt zu werden. Ziel ist es, lukrative Daten oder Systeme im Netzwerk zu finden. Eine längere Verweildauer im Netz erhöht zwar das Risiko der Entdeckung. Im Umkehrschluss kann es dem Angreifer aber gelingen, legitime Verbindungen und normales Benutzerverhalten ausnutzen, um die Anomalien-basierte Erkennung zu unterlaufen.
„Das Lateral Movement ist eine typische Komponente moderner Cyberangriffe. Wer sie nicht erkennt und stoppt, bleibt mithin anfällig.“
Jochen Rummel, Illusive
Endpoint Threat Detection and Response (EDR) ist wichtig, um Endpunkte zu überwachen und zu schützen. EDR bekommt jedoch ein Problem, wenn der Angreifer sich verhält wie ein legitimer Benutzer. Um sich von seinem Brückenkopf weg und im Netzwerk weiter zu bewegen, nutzt der Angreifer dann authentische Anmeldeinformationen sowie legitime Verbindungen und Pfade und ist somit meist monatelang nicht zu entdecken.
Von reaktiv zu aktiv
MITRE hat vor erst vor kurzem eine neue Wissensdatenbank unter dem Namen MITRE Shield eingerichtet, die ihren Schwerpunkt auf aktive Verteidigung legt. MITRE Shield ist eine Zusammenstellung von Best-Practice-Empfehlungen für Unternehmen. Shield enthält sowohl strukturierte Elemente wie durch Links verbundene Datentabellen, aber auch weniger strukturierte wie Konzepte und Erläuterungen zum Beispiel aus Blog-Beiträgen. Die Empfehlungen betreffen grundlegende Cybersicherheitsmaßnahmen sowie moderne Abwehrtechniken, etwa Deception-Technologien und den Umgang mit Angreifern.
Das Ziel, so MITRE in einem einführenden Blog-Beitrag zu Shield, ist es, "einem Unternehmen nicht nur die Möglichkeit zu geben, aktuelle Angriffe abzuwehren, sondern auch mehr über den Gegner zu erfahren und sich besser auf neue Angriffe in der Zukunft vorzubereiten." Im Kern will aktive Verteidigung eine feindliche Umgebung für den Angreifer schaffen und gleichzeitig die Kosten für Hacking in die Höhe treiben - um es so für den Angreifer unattraktiv machen. Deception-basierte Verteidigungsstrategien locken Angreifer mit scheinbar realen Zielen an. Irreführende Dateien, Daten und Anmeldeinformationen machen den Angreifern deutlich Mehrarbeit, und dies bei Vorgängen, die sich nur schwer automatisieren lassen. Wenn ein Angreifer in die Falle tappt, also über einen Köder stolpert, kann ein Sicherheitsteam deterministisch erkennen, dass es sich tatsächlich um einen echten Alarm handelt.
Während sich so die Kosten für den Angriff erhöhen, wird gleichzeitig die Bewegungsfreiheit des Angreifers innerhalb der feindlichen Umgebung stark eingeschränkt bis unmöglich gemacht. Parallel dazu wird es für ihn immer schwieriger unentdeckt zu bleiben. Bei einem deterministischen Erkennungsansatz sammeln Unternehmen Telemetriedaten in Echtzeit, um ein besseres Verständnis für potenzielle Ziele zu entwickeln, Abhilfe zu schaffen und Strategien und Taktiken für die Zukunft anzupassen.
Die aktuellen Angriffe zeigen, dass die bestehenden Sicherheitskontrollen unzureichend sind, wenn es um die Sicherheit von Anmeldeinformationen und Verbindungen geht und darum, unentdeckte laterale Bewegungen zu verhindern. Unternehmen sollten eine aktive Verteidigungsstrategie verfolgen, um genau das zu verhindern.
Über den Autor:
Jochen Rummel ist Regional Director DACH bei Illusive.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
