O movimento lateral é uma técnica que os agentes de ameaças usam para ampliar seu alcance em uma rede-alvo. Sabendo disso, entenda o que é e como funciona o movimento lateral em segurança cibernética no artigo a seguir.
O que é movimento lateral em segurança cibernética?
Durante essa fase de ampliação de alcance de um ataque cibernético, o invasor usará as credenciais comprometidas de alguém para explorar a rede e procurará maneiras de aumentar os privilégios de acesso até obter os direitos de usuário necessários para concluir o ataque.
O movimento lateral mal-intencionado pode ser difícil de detectar porque o agente da ameaça está usando credenciais de usuário legítimas e ferramentas de rede nativas para se movimentar pela rede. Se o invasor for cuidadoso e escalar os privilégios de forma incremental, sua atividade se misturará ao comportamento normal do usuário e não levantará sinais de alerta.
Objetivo do movimento lateral
O principal objetivo do movimento lateral é promover a cibersegurança, localizando alvos de alto valor sem ser detectado. Essa técnica é normalmente usada logo após o invasor obter acesso inicial ao alvo, mas o movimento lateral pode ser usado a qualquer momento em que o invasor queira saber mais sobre a rede que foi comprometida com sucesso.
À medida que se move lateralmente, o invasor pode criar vários backdoors e pontos de acesso redundantes para dificultar a detecção e o bloqueio pelo software de gerenciamento de incidentes e eventos de segurança (SIEM).
Essa redundância fornece ao invasor acesso persistente. Ela garante que, se uma conta comprometida for descoberta e protegida, eles ainda poderão acessar a rede de outra forma.
Enquanto estiver explorando seu alvo sem ser detectado, o invasor também pode usar esse tempo para configurar o que precisa para atingir seu objetivo de ataque. Por exemplo, ele pode usar um aplicativo de VPN para configurar um túnel criptografado que permitirá que ele exfiltre dados sem ser detectado, ou pode criptografar dados para pedir resgate ou sabotar uma infraestrutura de rede crítica, dependendo do objetivo do ataque.
O movimento lateral desempenha um papel importante nas ameaças persistentes avançadas. As APTs são ataques cibernéticos sofisticados e de longo prazo, nos quais o invasor estabelece um ponto de apoio em uma rede e permanece sem ser detectado por um longo período de tempo.
Como funciona o movimento lateral?
O movimento lateral bem-sucedido exige uma combinação de habilidade técnica e conhecimento do ambiente-alvo.16
Os agentes mal-intencionados geralmente iniciam um ataque cibernético com uma exploração de phishing ou de comprometimento de e-mail comercial (BEC) para obter as credenciais de um usuário legítimo. O ideal é que os agentes de ameaças comecem comprometendo uma conta que tenha privilégios administrativos, mas, como isso nem sempre é possível, eles procurarão maneiras de comprometer qualquer conta com credenciais legítimas.
Depois de entrar, o invasor pode usar o whoami ou algum outro meio para determinar os privilégios de acesso da conta comprometida. Esse conhecimento permitirá que ele explore a rede lateralmente e encontre outras contas, vulnerabilidades de rede ou máquinas a serem comprometidas.
Normalmente, essa fase do ataque envolve a procura de software sem patch, falhas de segurança conhecidas, configurações incorretas comuns em serviços de rede e aplicativos de software, configurações de sistema fracas e outras brechas de segurança que podem ser usadas na violação de segurança para aumentar os privilégios.
As estratégias populares para aumentar os privilégios incluem:
- Carregamento lateral de DLLs mal-intencionadas: Essa estratégia envolve a colocação de um arquivo DLL mal-intencionado em um local onde um aplicativo de software espera encontrar uma DLL legítima. Desde que o aplicativo seja legítimo, a atividade mal-intencionada provavelmente não será percebida pelo software antivírus. Quando a DLL é carregada lateralmente pelo aplicativo, ela é executada com os mesmos privilégios que o próprio aplicativo. Se o aplicativo tiver direitos administrativos, a DLL mal-intencionada também terá esses direitos.
- Pass-the-Hash (PtH): Essa técnica aproveita a maneira como alguns sistemas operacionais (SO) fazem hash, armazenam e autenticam as credenciais do usuário. Se a autenticação for realizada usando técnicas pass-the-hash, o invasor poderá capturar um hash que pertença a um usuário privilegiado e fazer login com ele.
- Uso de ferramentas de execução remota: Os invasores podem usar indevidamente o Remote Desktop Protocol (RDP) para executar comandos que lhes permitam procurar vulnerabilidades adicionais. Como esse protocolo é frequentemente usado por administradores de sistema, seu uso por um invasor que tenha comprometido credenciais legítimas provavelmente não levantará uma bandeira vermelha.
Prevenção do movimento lateral
A movimentação lateral pode ser difícil de detectar e responder porque, se o invasor for cuidadoso, sua atividade parecerá um comportamento legítimo do usuário, pois ele está usando credenciais e ferramentas de sistema válidas. As principais estratégias para atenuar o impacto do movimento lateral não autorizado incluem as seguintes:
- Separe a rede em zonas distintas para limitar a superfície de ataque e diminuir a capacidade do invasor de se movimentar livremente pela rede.
- Implemente controles de segurança que apliquem o Princípio do Menor Privilégio (PoLP) e exijam autenticação multifatorial (MFA).
- Promover uma cultura de confiança zero.
- Aplicar o princípio do privilégio mínimo (PoLP)
- Implemente sistemas de detecção de anomalias com suporte de inteligência artificial (IA) que possam detectar padrões de comportamento incomuns.
- Mantenha todos os sistemas e softwares corrigidos e atualizados.
- Eduque os funcionários sobre as práticas recomendadas de segurança para reduzir o risco de comprometimento de credenciais.