Was ist laterale Bewegung?

Laterale Bewegung bedeutet, dass sich Angreifer über mehrere Teile eines Netzwerks ausbreiten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Laterale Bewegung definieren
  • Beschreiben, wie laterale Bewegung stattfindet
  • Präventionsmaßnahmen auflisten, um laterale Bewegungen zu verlangsamen oder zu stoppen

Link zum Artikel kopieren

Was ist laterale Bewegung?

In der Netzwerksicherheit ist laterale Bewegung der Prozess, durch den sich Angreifer von einem Eintrittspunkt aus auf den Rest des Netzwerks ausbreiten. Dafür gibt es viele Methoden. Ein Angriff könnte zum Beispiel mit Malware auf dem Desktop-Computer eines Mitarbeiters starten. Von dort aus versucht der Angreifer, sich lateral zu bewegen, um andere Computer im Netzwerk zu infizieren, interne Server zu infizieren und immer weiter – bis er sein endgültiges Ziel erreicht.

Angreifer versuchen, sich lateral zu bewegen, ohne dabei entdeckt zu werden. Aber selbst wenn eine Infektion auf dem ersten Gerät entdeckt wird oder wenn ihre Aktivitäten erkannt werden, kann der Angreifer seine Präsenz im Netzwerk aufrechterhalten, wenn er bereits eine große Anzahl von Geräten infiziert hat.

Stellen Sie sich eine Gruppe von Einbrechern vor, die durch ein offenes Fenster in ein Haus eindringen und dann von einem Raum in den anderen gehen. Selbst wenn ein einzelner Einbrecher in einem Raum erwischt wird, können die anderen Einbrecher immer noch Gegenstände stehlen. In ähnlicher Weise ermöglicht laterale Bewegung einem Angreifer, in die verschiedenen „Räume“ eines Netzwerks einzudringen – Server, Endpunkte, Anwendungszugriff – dadurch ist der Angriff schwer einzudämmen.

Obwohl einige Aspekte automatisiert werden können, ist laterale Bewegung oft ein manueller Prozess, der von einem Angreifer oder einer Gruppe von Angreifern gesteuert wird. Dieser aktive Ansatz ermöglicht es den Angreifern, ihre Methoden auf das betreffende Netzwerk zuzuschneiden. Außerdem können sie dadurch rasch reagieren, wenn Netzwerk- und Sicherheitsadministratoren Gegenmaßnahmen ergreifen.

Wie findet laterale Bewegungen statt?

Laterale Bewegungen beginnen mit einem ersten Eintrittspunkt in das Netzwerk. Mögliche Einstiegspunkte sind ein mit Malware infizierter Rechner, der eine Verbindung zum Netzwerk herstellt, ein gestohlener Satz von Nutzer-Anmeldedaten (Benutzername und Kennwort), eine Sicherheitslücke, die über einen offenen Port eines Servers ausgenutzt wird, und eine Reihe anderer Angriffsmethoden.

Normalerweise stellt der Angreifer eine Verbindung zwischen dem Einstiegspunkt und seinem Command-and-Control (C&C)-Server her. Der C&C-Server gibt Befehle an die installierte Malware aus und speichert die gesammelten Daten von Geräten, die mit dieser Malware infiziert sind oder ferngesteuert werden.

Sobald der Angreifer auf einem Gerät innerhalb des Netzwerks Fuß gefasst hat, beginnt er mit der Aufklärungsarbeit. Er findet so viel wie möglich über das Netzwerk heraus, einschließlich der Daten, auf die das kompromittierte Gerät Zugriff hat, und – falls er ein Benutzerkonto kompromittiert hat –, über welche Rechte der Nutzer verfügt.

Der nächste Schritt der lateralen Bewegung des Angreifers ist ein Prozess, der „Rechteausweitung“ oder „Privilege Escalation“ genannt wird.

Rechteausweitung (Privilege Escalation)

Von einer Rechteausweitung spricht man, wenn ein Nutzer (ob rechtmäßig oder unrechtmäßig) mehr Rechte (Privilegien) erhält, als er haben sollte. Eine Rechteausweitung erfolgt manchmal versehentlich im Rahmen der Identitäts- und Zugriffsverwaltung (IAM), wenn die Privilegien der Nutzer nicht korrekt getrackt und zugewiesen werden. Angreifer nutzen hingegen gezielt Schwachstellen in Systemen aus, um ihre Privilegien in einem Netzwerk zu erweitern.

Wenn der Angreifer über eine Sicherheitslücke oder eine Malware-Infektion in ein Netzwerk eingedrungen ist, kann er einen Keylogger verwenden (der die von Nutzern eingegebenen Tasten aufzeichnet) und so die Anmeldedaten der Nutzer stehlen. Oder er hat in einem Phishing-Angriff Anmeldedaten gestohlen und ist so in das Netzwerk gelangt. Wie auch immer er sich Zugang verschafft, der Angreifer beginnt mit einem Satz von Anmeldedaten und den mit diesem Nutzerkonto verbundenen Rechten. Dann versucht er die Möglichkeiten dieses Kontos zu maximieren. Anschließend greift er auf andere Rechner über. Mit Tools zum Diebstahl von Anmeldeinformationen übernimmt er weitere Konten.

Um die Art von Zugang für maximalen Schaden zu erhalten oder sein Ziel zu erreichen, benötigt der Angreifer in der Regel Administratorrechte. Er bewegt sich daher lateral durch das Netzwerk, bis er sich Administratorrechte verschafft hat. Sobald diese Zugangsdaten vorliegen, erhält er im Wesentlichen die Kontrolle über das gesamte Netzwerk.

Tarnung und Gegenmaßnahmen bei lateralen Bewegungen

Bei seinen lateralen Bewegungen achtet der Angreifer genau auf die Gegenmaßnahmen des Sicherheitsteams. Wenn das Unternehmen beispielsweise eine Malware-Infektion auf einem Server entdeckt und diesen Server dann vom Rest des Netzwerks abschneidet, um die Infektion unter Quarantäne zu stellen, wartet der Angreifer vielleicht eine Weile vor der nächsten Aktion, damit seine Anwesenheit auf weiteren Geräten unentdeckt bleibt.

Angreifer können auch Hintertüren installieren, damit sie wieder in das Netzwerk gelangen, wenn sie entdeckt und erfolgreich von allen Endpunkten und Servern entfernt werden. (Eine Hintertür ist ein geheimer Weg in ein ansonsten sicheres System.)

Angreifer versuchen auch, ihre Aktivitäten mit dem normalen Netzwerk-Traffic zu vermischen, da ungewöhnlicher Netzwerk-Traffic Administratoren auf ihre Anwesenheit aufmerksam machen könnte. Die Vermischung wird einfacher, wenn sie weitere legitime Nutzer-Konten kompromittieren.

Bei welchen Arten von Angriffen kommen laterale Bewegungen zum Einsatz?

Viele Kategorien von Angriffen basieren auf lateralen Bewegungen, um entweder so viele Geräte wie möglich zu erfassen oder sich im gesamten Netzwerk zu bewegen, bis ein bestimmtes Ziel erreicht ist. Zu diesen Angriffsarten gehören:

  • Ransomware: Ransomware-Angreifer versuchen, so viele Geräte wie möglich zu infizieren, um ihre Lösegeldforderung mit möglichst viel Druck durchsetzen zu können. Ransomware zielt insbesondere auf interne Server ab, die wichtige Daten für die alltäglichen Abläufe eines Unternehmens enthalten. Dies garantiert, dass die Ransomware-Infektion, sobald sie aktiviert ist, den Betrieb des Unternehmens zumindest vorübergehend stark beeinträchtigt.
  • Datenexfiltration: Datenexfiltration ist der Prozess, bei dem Daten ohne Genehmigung aus einer kontrollierten Umgebung verschoben oder kopiert werden. Angreifer exfiltrieren Daten aus verschiedenen Gründen: um geistiges Eigentum zu stehlen, um an persönliche Daten zu gelangen, um Identitätsdiebstahl zu begehen oder um Lösegeld für die gestohlenen Daten zu verlangen (wie bei einem Doxware-Angriff oder bestimmten Arten von Ransomware-Angriffen). Normalerweise gelangen Angreifer an bestimmte Daten, indem sie sich lateral von einem ersten Kompromittierungspunkt aus bewegen.
  • Spionage: Nationalstaaten, organisierte Cyberkriminelle oder rivalisierende Unternehmen verfolgen aus unterschiedlichen Gründen die Aktivitäten innerhalb anderer Einrichtungen. Wenn das Ziel eines Angriffs eher Spionage als reiner finanzieller Gewinn ist, werden die Angreifer versuchen, so lange wie möglich unentdeckt zu bleiben und sich im Netzwerk zu integrieren. Dies steht im Gegensatz zu Ransomware-Angriffen, bei denen der Angreifer schließlich die Aufmerksamkeit auf seine Aktionen lenken möchte, um ein Lösegeld zu erhalten. Es unterscheidet sich auch von der Datenexfiltration, bei der es dem Angreifer egal sein könnte, ob er entdeckt wird, sobald er die gewünschten Daten in die Hände bekommt.
  • Botnetz-Infektion: Angreifer können die von ihnen übernommenen Geräte zu einem Botnetz hinzufügen. Botnetze lassen sich für eine Vielzahl böswilliger Zwecke einsetzen; insbesondere werden sie häufig für Distributed-Denial-of-Service-Angriffe (DDoS) verwendet. Laterale Bewegung hilft einem Angreifer, so viele Geräte wie möglich in sein Botnetz zu integrieren und das Botnetz so noch schlagkräftiger zu machen.

Wie Sie laterale Bewegungen anhalten können

Diese Präventivmaßnahmen werden laterale Bewegungen für Angreifer erheblich erschweren:

Penetrationstests helfen Unternehmen beim Schließen anfälliger Teile des Netzwerks – also Teile, die laterale Bewegungen ermöglichen könnten. Bei Penetrationstests beauftragt ein Unternehmen einen ethischen Hacker damit, die Unternehmenssicherheit einem Stresstest auszusetzen. Der Hacker versucht, so tief wie möglich in das Netzwerk einzudringen und dabei unentdeckt zu bleiben. Anschließend teilt er die Ergebnisse mit dem Unternehmen, das diese Informationen nutzen kann, um die entdeckten Sicherheitslücken zu schließen.

Zero Trust-Sicherheit ist eine Netzwerksicherheitsphilosophie, die standardmäßig keinem Nutzer, keinem Gerät und keiner Verbindung vertraut. Ein Zero Trust-Netzwerk betrachtet alle Nutzer und Geräte als Bedrohung und authentifiziert sowohl Nutzer als auch Geräte ständig neu. Zero Trust verwendet außerdem einen Ansatz mit minimalen Zugriffsrechten und unterteilt Netzwerke in kleine Segmente. Diese Strategien erschweren den Angreifern die Rechteausweitung und erleichtern den Sicherheitsadministratoren die Erkennung und Quarantäne der Erstinfektion.

Zur Endpunktsicherheit gehört das regelmäßige Scannen von Endpunktgeräten (Desktop-Computer, Laptops, Smartphones usw.) mithilfe von Anti-Malware-Software und anderen Sicherheitstechniken.

IAM ist eine entscheidende Komponente zur Prävention lateraler Bewegungen. Die Benutzerrechte müssen genau verwaltet werden: Haben Nutzer mehr Rechte, als sie unbedingt benötigen, werden die Folgen einer Kontoübernahme gravierender. Außerdem kann die Zwei-Faktor-Authentifizierung (2FA) helfen, laterale Bewegungen anzuhalten. In einem System, das 2FA verwendet, reichen die Anmeldedaten des Nutzers nicht aus, um ein Konto zu kompromittieren; der Angreifer muss auch das sekundäre Authentifizierungs-Token stehlen und das ist wesentlich schwieriger.

Cloudflare One kombiniert Netzwerkdienste mit Zero Trust-Sicherheitsdiensten. Das Produkt lässt sich in Identitätsmanagement- und Endpunkt-Sicherheitslösungen integrieren. So ersetzen Sie einen Flickenteppich von Sicherheitsprodukten durch eine einzige Plattform, die laterale Bewegungen und andere Angriffe verhindert. Erfahren Sie mehr über Cloudflare One.