Il lateral movement

Il lateral movement si riferisce alle tecniche che un threat actor utilizza, dopo aver ottenuto l’accesso iniziale, per spostarsi più in profondità in una rete alla ricerca di dati sensibili e altre risorse di valore.

Dopo essere entrato nella rete, l’attaccante mantiene l’accesso spostandosi attraverso l’ambiente compromesso e ottenendo maggiori privilegi utilizzando vari strumenti.

 

Cos’è il lateral movement?

Il lateral movement è una tattica chiave che distingue le advanced persistent threat (APT) odierne dai semplicistici attacchi informatici del passato.

Il lateral movement consente ad un threat actor di evitare il rilevamento e mantenere l’accesso, anche se rilevato, sulla macchina che è stata infettata per la prima volta. E con un tempo di permanenza prolungato, il furto di dati potrebbe non necessariamente verificarsi prima di settimane o addirittura mesi dalla violazione originale.

Dopo aver ottenuto l’accesso iniziale a un endpoint, ad esempio tramite un attacco di phishing o un’infezione da malware, l’hacker impersona un utente legittimo e si sposta attraverso più sistemi nella rete fino al raggiungimento dell’obiettivo finale.

Il raggiungimento di tale obiettivo implica la raccolta di informazioni su più sistemi e account, l’ottenimento di credenziali, l’escalation dei privilegi e, in definitiva, l’accesso al carico utile identificato.

 

Fasi comuni del lateral movement

Ci sono tre fasi principali del lateral movement: ricognizione, raccolta di credenziali/privilegi e accesso ad altri computer nella rete.

Ricognizione

Durante la ricognizione, l’attaccante osserva, esplora e mappa la rete, i suoi utenti e i dispositivi.

Questa mappa consente all’intruso di comprendere le convenzioni di denominazione degli host e le gerarchie di rete, identificare i sistemi operativi, individuare potenziali payload e acquisire informazioni per agire.

Gli attori delle minacce implementano una varietà di strumenti per scoprire dove si trovano nella rete, a cosa possono accedere e quali firewall o altri deterrenti sono in atto.

Un utente malintenzionato può sfruttare molti strumenti personalizzati esterni e strumenti open source per la scansione delle porte, le connessioni proxy e altre tecniche, ma l’utilizzo di Windows integrato con strumenti di supporto offre il vantaggio di essere più difficili da rilevare.

Dumping delle credenziali ed escalation dei privilegi

Per spostarsi attraverso una rete, un utente malintenzionato ha bisogno di credenziali di accesso valide. Il termine utilizzato per ottenere le credenziali illegalmente è chiamato “dumping delle credenziali”.

Un modo per ottenere queste credenziali è indurre gli utenti a condividerle utilizzando tattiche di social engineering come typosquatting e attacchi di phishing. Altre tecniche comuni per rubare le credenziali includono:

Pass the Hash: un metodo di autenticazione che non necessita un accesso alla password dell’utente. Questa tecnica ignora i passaggi di autenticazione standard acquisendo hash di password validi che, una volta autenticati, consentono all’attaccante di eseguire azioni su sistemi locali o remoti.

Pass the Ticket: un modo per autenticarsi utilizzando i ticket Kerberos. Un intruso che ha compromesso un controller di dominio può generare offline un “golden ticket” Kerberos che rimane valido a tempo indeterminato e può essere utilizzato per impersonare qualsiasi account, anche dopo la reimpostazione della password.

Strumenti come Mimikatz: vengono utilizzati per rubare password in chiaro nella cache o certificati di autenticazione dalla memoria di una macchina compromessa. Possono quindi essere utilizzati per autenticarsi su altre macchine.

Strumenti di keylogging: consentono all’attaccante di acquisire le password direttamente quando un utente ignaro le immette tramite la tastiera.

Ottenere l’accesso

Il processo di esecuzione della ricognizione interna, e quindi di aggirare i controlli di sicurezza per compromettere gli host successivi, può essere ripetuto fino a quando i dati di destinazione non sono stati trovati ed esfiltrati. E, man mano che gli attacchi informatici diventano più sofisticati, spesso contengono un forte elemento umano.

Ciò è particolarmente vero per il lateral movement, quando un’organizzazione si trova di fronte a mosse e contromosse di un avversario. Ma il comportamento umano può essere rilevato – e intercettato – da una solida soluzione di sicurezza.

 

Tipi di attacchi utilizzati

Molti tipi di attacchi utilizzano il lateral movement per raggiungere il maggior numero possibile di dispositivi o per spostarsi all’interno della rete fino al raggiungimento di un determinato obiettivo. Ecco alcuni esempi.

Attacchi botnet: i dispositivi che vengono rilevati dai criminali informatici possono essere aggiunti a una botnet. Le botnet sono spesso impiegate negli attacchi Distributed Denial-of-Service (DDoS), ma possono essere utilizzate anche per una serie di altri scopi dannosi. Utilizzando il lateral movement, un hacker può connettere il maggior numero possibile di dispositivi alla propria botnet, rendendola più forte.

Attacchi ransomware: come è noto, il ransomware è un sofisticato malware che cifra dati spesso cruciali per i processi quotidiani di un’organizzazione. Dopo che l’infezione si è verificata, le vittime ricevono un messaggio che informa della necessità di pagare una certa somma di denaro (ransom) per ottenere la chiave di decifratura. Solitamente, c’è anche un limite di tempo per completare il pagamento, altrimenti i file potrebbero andare persi per sempre. Una volta attivato, il ransomware interromperà le operazioni dell’azienda, almeno temporaneamente, se non si è fatto un efficiente backup dati.

Trasferimento dei dati: è l’atto di sottrarre intenzionalmente informazioni riservate dall’interno di un’organizzazione, verso l’esterno del perimetro, senza autorizzazione. Per ottenere i dati che si desiderano, i malintenzionati di solito devono operare un lateral movement dal punto iniziale di intrusione. Il trasferimento dei dati può essere eseguito tramite hacking, software dannoso, e attacchi di ingegneria sociale.

Campagne di spionaggio informatico: il cyber spionaggio è una pratica comune tra paesi o gruppo politici opposti, gruppi di hacker e organizzazioni, con le più disparate motivazioni. Quando l’obiettivo dell’hacker è solo la sorveglianza, senza guadagno finanziario, faranno del loro meglio per rimanere nascosti e impiantati nella rete il più a lungo possibile. Si differenzia da un attacco ransomware, in cui l’hacker rende note le sue intenzioni per ricevere il riscatto.

 

Rilevamento del lateral movement

Il lateral movement è difficile, se non impossibile, da bloccare automaticamente attraverso controlli di prevenzione.

Una early detection è essenziale per arrestare il lateral movement. Maggiore è il tempo necessario per rilevarlo, maggiore è il danno, con conseguenti costi di indagine e ripristino di gran lunga maggiori.

Anche se le organizzazioni raccolgono i dati necessari per scoprire il lateral movement, la difficoltà maggiore è usarli correttamente.

L’analisi comportamentale è il modo più semplice per trovare operazioni di lateral movement. Il primo passo è raccogliere e unire i dati chiave, inclusi i dati di rete, endpoint, cloud e identità.

Utilizzando l’analisi comportamentale e l’apprendimento automatico, gli strumenti di sicurezza possono profilare l’attività di utenti e dispositivi per identificare amministratori, utenti standard, endpoint e server. Le analytics possono anche identificare quali utenti sono associati a quali applicazioni e dispositivi.

Sulla base di queste informazioni, gli strumenti di sicurezza possono rilevare un utente normale che agisce come un amministratore o un’amministrazione le cui credenziali sono state utilizzate in modo improprio per un accesso amministrativo imprevisto.

I threat actor possono anche compromettere gli host installando codice dannoso su condivisioni file di rete o manipolando gli script di accesso al computer.

I team di sicurezza informatica possono rilevare queste tecniche cercando abusi delle credenziali e accessi non riusciti eccessivi.

Se più dispositivi condividono le stesse credenziali o se un singolo dispositivo accede alle risorse di rete da account distinti in un breve periodo di tempo, è possibile che sia in corso un attacco.

Se un utente normale mostra un comportamento di tipo amministrativo, come la gestione di macchine remote, il terminale dell’utente potrebbe essere compromesso

 

Mitigazione e prevenzione

È importante che i team di sicurezza siano in grado di rilevare in modo rapido e accurato i lateral movement in modo da impedire ai malintenzionati di espandere la propria portata all’interno di un’organizzazione.

Un ottimo inizio, quando si tratta di prevenzione e rilevamento del lateral movement, sarebbe una migliore comprensione del concetto.

È fondamentale sapere come funziona e quali sono i primi segnali per riconoscerlo. Ecco alcuni utili consigli:

  • Aggiornare regolarmente il software obsoleto: tutti i servizi, applicazioni, sistemi operativi ed endpoint dovrebbero utilizzare la versione più recente del software;
  • Rimuovere i sistemi che non sono stati aggiornati: proteggere i sistemi privi di patch separandoli dal resto della rete, magari creando una DMZ massicciamente protetta dai non autorizzati;
  • Filtrare le porte aperte: per aiutare a proteggersi da attacchi frequenti e infezioni da malware, assicurarsi che non ci siano porte aperte senza un valido motivo;
  • Attuare il principio del privilegio minimo: in questo modo, gli utenti possono avere accesso solo alle informazioni ed eseguire azioni di cui hanno bisogno per svolgere il proprio lavoro, impedendo di ottenere dati aggiuntivi che non li riguardano;
  • Mantenere una corretta igiene IT: per proteggersi dai lateral movement, è necessario assicurarsi che la propria organizzazione copra gli elementi di base della protezione della rete. Di solito, un attacco si verifica quando un’azienda ha un’igiene IT inadeguata;
  • Utilizzare password univoche: garantire l’utilizzo di password difficili da indovinare e sicure, Single Sign-On (SSO), autenticazione a più fattori (MFA) e protocolli di accesso limitati;
  • Eseguire continui backup dei dati riservati: l’integrazione di una solida strategia di backup per informazioni, sistemi e app critici, aiuta a garantire la continuità aziendale in caso di violazione della sicurezza;
  • Rilevazione di minacce sofisticate: l’individuazione di minacce è un’azione di difesa informatica necessaria (monitoraggio con antivirus integrati ed intelligenti). Si riferisce al processo di ricerca attraverso le reti per scoprire e isolare le minacce avanzate che aggirano le soluzioni di sicurezza esistenti.