¿Qué es el movimiento lateral en ciberseguridad?
El movimiento lateral es una técnica que los actores de amenazas utilizan para ampliar su alcance dentro de una red objetivo. Durante esta fase de un ciberataque, el atacante utilizará las credenciales comprometidas de alguien para explorar la red y buscar formas de escalar los privilegios de acceso hasta que tenga los derechos de usuario que necesita para completar su ataque.
El movimiento lateral malicioso puede ser difícil de detectar porque el actor de la amenaza está utilizando credenciales de usuario legítimas y herramientas de red nativas para moverse por la red. Si el atacante es cuidadoso y escala privilegios de forma incremental, su actividad se mezclará con el comportamiento normal del usuario y no provocará señales de alarma.
El propósito del movimiento lateral
El objetivo principal del movimiento lateral es localizar objetivos de alto valor sin ser detectado. Esta técnica se suele utilizar justo después de que el atacante obtenga el acceso inicial a su objetivo, pero el movimiento lateral se puede utilizar en cualquier momento en que el atacante desee obtener más información sobre la red que ha logrado comprometer.
Al desplazarse lateralmente, el atacante puede crear múltiples puertas traseras y puntos de acceso redundantes para dificultar su detección y bloqueo por parte del software de gestión de incidentes y eventos de seguridad (“security incident and event management” o “SIEM“). Esta redundancia proporciona al atacante un acceso persistente. Asegura que si una cuenta comprometida se descubre y se asegura, todavía será capaz de acceder a la red de otra manera.
Mientras explora su objetivo sin ser detectado, el atacante también puede utilizar este tiempo para configurar lo que necesita para lograr su objetivo de ataque. Por ejemplo, puede utilizar una aplicación VPN para establecer un puente cifrado que le permita filtrar datos sin ser detectado, o puede cifrar datos para pedir un rescate o sabotear infraestructuras de red críticas, dependiendo del objetivo del ataque.
El movimiento lateral desempeña un papel importante en las amenazas persistentes avanzadas. Las APT son ciberataques sofisticados y a largo plazo mediante los cuales el atacante establece un punto de apoyo dentro de una red y permanece sin ser detectado durante un largo periodo de tiempo.
¿Cómo funciona el movimiento lateral?
Un movimiento lateral exitoso requiere una combinación de habilidad técnica y conocimiento del entorno objetivo.
Los ciberdelincuentes suelen comenzar un ciberataque con un ataque de phishing o de correo electrónico comercial comprometido (“business email compromise” o “BEC“) para obtener las credenciales de un usuario legítimo. En condiciones ideales, los actores de amenazas quieren comenzar el ataque afectando a una cuenta que tenga privilegios administrativos, pero como esto no siempre es posible, entonces tratarán de acceder a cualquier cuenta con credenciales legítimas.
Una vez dentro, el atacante puede utilizar whoami o cualquier otro medio para determinar los privilegios de acceso de la cuenta comprometida. Este conocimiento le permitirá explorar la red lateralmente y encontrar otras cuentas, vulnerabilidades de red o máquinas que comprometer.
Normalmente, esta fase del ataque implica la búsqueda de software sin parchear, fallos de seguridad conocidos, errores de configuración comunes en servicios de red y aplicaciones de software, configuraciones débiles del sistema y otras brechas de seguridad que pueden utilizarse para escalar privilegios.
Las estrategias más populares para escalar privilegios incluyen:
Carga lateral de DLL maliciosas: Esta estrategia consiste en colocar un archivo DLL malicioso en una ubicación donde una aplicación de software espera encontrar un DLL legítimo. Mientras la aplicación sea legítima, es probable que el software antivirus no detecte la actividad maliciosa. Cuando la DLL se carga lateralmente por la aplicación, se ejecutará con los mismos privilegios que la propia aplicación. Si la aplicación tiene derechos administrativos, la DLL maliciosa también los obtendrá.
Paso del hash (“Pass-the-Hash” o “PtH”): Esta técnica se aprovecha de la forma en que algunos sistemas operativos (SO) hacen hash, almacenan y autentican las credenciales de usuario. Si la autenticación se realiza utilizando técnicas de paso del caché, el atacante podría potencialmente capturar un hash que pertenezca a un usuario con privilegios e iniciar sesión con él.
Uso de herramientas de ejecución remota: Los atacantes pueden utilizar indebidamente el Protocolo de Escritorio Remoto (“Remote Desktop Protocol” o “RDP”) para ejecutar comandos que les permitan buscar vulnerabilidades adicionales. Dado que los administradores de sistemas suelen utilizar este protocolo, su uso por parte de un atacante que haya comprometido credenciales legítimas es poco probable que haga saltar la alarma.
Prevención del movimiento lateral
El movimiento lateral puede ser difícil de detectar y enfrentar porque si el atacante tiene cuidado, su actividad parecerá un comportamiento de usuario legítimo, ya que está utilizando credenciales válidas y herramientas del sistema. Las estrategias clave para mitigar el impacto del movimiento lateral no autorizado incluyen las siguientes:
- Separar la red en zonas distintas para limitar la exposición al ataque y ralentizar la capacidad del atacante para moverse libremente por la red.
- Implementar controles de seguridad que apliquen el Principio de Mínimo Privilegio (“Principle of Least Privilege” o “PoLP“) y requieran autenticación multifactor (“multi-factor authentification” o “MFA“).
- Fomentar una cultura de confianza cero.
- Aplicar el Principio de Mínimo Privilegio (PoLP)
- Implementar sistemas de detección de anomalías basados en IA que puedan detectar patrones de comportamiento inusuales.
- Mantener todos los sistemas y programas parcheados y actualizados.
- Educar a los empleados sobre las mejores prácticas de seguridad para reducir el riesgo de que las credenciales se vean comprometidas.