什麼是橫向移動?

橫向移動是攻擊者在網路的多個部分擴散的方式。

學習目標

閱讀本文後,您將能夠:

  • 定義橫向移動
  • 描述橫向移動如何發生
  • 列出減緩或阻止橫向移動的預防措施

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是橫向移動?

在網路安全中,橫向移動是攻擊者從入口點傳播到網路其餘部分的過程。有許多方法可以實現這一目標。例如,攻擊可能始於員工桌上型電腦上的惡意程式碼。從那裡,攻擊者嘗試橫向移動以感染網路上的其他電腦、感染內部伺服器等等,直到它們到達最終目標。

橫向移動圖示。攻擊者感染筆記型電腦,進入安全網路,橫向移動到其他電腦和伺服器。

攻擊者的目標是橫向移動而不被發現。但是,即使在初始裝置上發現了感染,或者偵測到他們的活動,如果攻擊者感染了廣泛的裝置,他們也可以在網路中保持他們的存在。

想像一群竊賊從一扇開啟的窗戶進入一所房子,然後每個人都去了房子裡的不同房間。即使在一個房間裡發現了一個竊賊,其他人也可以繼續偷竊物品。同樣,橫向移動使攻擊者能夠進入網路的各個「房間」——伺服器、端點、應用程式存取,使攻擊難以遏制。

雖然它的某些方面可能是自動化的,但橫向移動通常是由攻擊者或攻擊者團夥指導的手動過程。這種實際操作的方法使攻擊者能夠根據相關網路定制他們的方法。它還讓他們能夠快速回應網路和安全管理員套用的安全對策。

橫向移動是如何發生的?

橫向移動從進入網路的初始入口點開始。這個入口點可能是連接到網路的受惡意程式碼感染的機器、一組被盜的使用者認證(使用者名稱和密碼)、透過伺服器開放連接埠的漏洞利用或許多其他攻擊方法。

通常情況下,攻擊者在入口點和他們的命令與控制 (C&C) 伺服器之間建立一個連線。他們的 C&C 伺服器向任何已安裝的惡意程式碼發布命令,並儲存從受惡意程式碼感染或遠端控制的裝置中收集的資料。

一旦攻擊者在網路內的裝置上有了立足點,他們就會進行偵查。他們盡可能多地瞭解網路的情況,包括被攻擊的裝置可以存取什麼,如果他們入侵了一個使用者的帳戶,則瞭解該使用者有什麼權限。

攻擊者開始橫向移動的下一步是稱為「權限提升」的過程。

權限提升

權限提升是指使用者(無論是合法的還是非法的)獲得的權限超出了他們應有的權限。當未正確追蹤和指派使用者權限時,有時會在身分識別與存取權管理 (IAM) 中意外發生權限提升。與之相反,攻擊者則會故意利用系統中的缺陷來提升他們在網路上的權限。

如果攻擊者透過漏洞或惡意程式碼感染進入網路,則可能會使用鍵盤記錄木馬程式(這會追蹤使用者鍵盤輸入)來竊取使用者認證。或者他們最初可能透過在網路釣魚攻擊中竊取的認證進入網路。無論他們如何獲取認證,攻擊者都是從一組認證和與該使用者帳戶相關的權限開始的。他們的目標是最大限度地利用該帳戶可以做的事情,然後他們傳播到其他機器並使用認證盜竊工具來盜用其他帳戶。

為了獲得造成最大損害或達到目標所需的存取權限,攻擊者通常需要管理員級別的權限。因此,他們在網路中橫向移動,直到獲得管理員認證。一旦獲得這些認證,這實際上讓他們能夠控制整個網路。

橫向移動過程中的偽裝和對抗措施

在整個橫向移動的過程中,攻擊者可能會密切關注組織安全團隊的對策。例如,如果組織在一台伺服器上發現了惡意程式碼感染,並切斷了該伺服器與網路其他部分的聯繫來隔離感染,那麼攻擊者可能會等待一段時間再執行進一步的動作,這樣他們在其他裝置上的存在就不會被發現。

攻擊者可能會安裝後門程式,以確保當他們的存在被偵測到並成功地從所有端點和伺服器上移除後,仍可以重新進入網路。(後門程式是進入一個原本安全的系統的秘密途徑)。

攻擊者還試圖將他們的活動與正常的網路流量混合,因為異常的網路流量可能會提醒管理員他們的存在。當他們入侵其他合法使用者帳戶時,混合變得更加容易。

什麼類型的攻擊會使用橫向移動?

許多類別的攻擊依靠橫向移動來到達盡可能多的裝置,或在整個網路中傳播直到達到特定目標。其中一些攻擊類型包括:

  • 勒索軟體:勒索軟體攻擊者旨在感染盡可能多的裝置,以確保他們在要求支付贖金時擁有最大的籌碼。勒索軟體尤其以包含組織日常流程關鍵資料的內部伺服器為目標。這保證在啟用後,勒索軟體感染將嚴重損害組織的營運,至少暫時能夠做到。
  • 資料外流:資料外流是在未經授權的情況下將資料移動或複制出受控環境的過程。攻擊者出於多種原因外洩資料:竊取智慧財產權、獲取個人資料以進行身分盜竊,或持有他們竊取的資料以獲取贖金(例如在 doxware 攻擊或某些類型的勒索軟體攻擊中)。攻擊者通常需要從最初的入侵點橫向移動以獲取他們想要的資料。
  • 間諜活動:民族國家、有組織的網路犯罪集團或競爭公司可能都有其監控組織內活動的理由。如果攻擊的目標是間諜活動,而不是純粹的經濟利益,那麼攻擊者會試圖盡量不被發現並儘可能長時間地內嵌網路。這與勒索軟體攻擊形成鮮明對比,在勒索軟體攻擊中,攻擊者最終希望引起人們對他們行為的關注以獲取贖金。它也與資料外流不同,在後者中,攻擊者在獲得想要的資料後,可能不在乎他們是否會被偵測到。
  • 殭屍網路感染:攻擊者可能會將他們盜用的裝置新增到殭屍網路。殭屍網路可用於多種惡意目的; 特別是它們通常用於分散式阻斷服務 (DDoS) 攻擊。橫向移動有助於攻擊者將盡可能多的裝置新增到他們的殭屍網路中,從而使其更強大。

如何阻止橫向移動

以下預防措施可以使攻擊者的橫向移動更加困難:

滲透測試可以幫助組織關閉網路中可能允許橫向移動的脆弱部分。在滲透測試中,組織僱用一個道德駭客來對他們的安全性進行壓力測試,試圖在不被發現的情況下盡可能深入到網路中。然後,駭客與組織分享他們的發現,組織可以利用這些資訊來修復駭客利用的安全漏洞。

Zero Trust 安全性是一種網路安全理念,預設不信任任何使用者、裝置或連線。Zero Trust 網路假定所有的使用者和裝置都存在威脅,並不斷重新驗證使用者和裝置的身分。Zero Trust 還使用最低權限存取控制方法,並將網路劃分為小段。這些策略使攻擊者的權限提升更加困難,並使安全管理員更容易偵測和隔離初始感染。

端點安全包括使用反惡意程式碼軟體和其他安全技術定期掃描端點裝置(桌上型電腦、筆記型電腦、智慧型手機等)。

IAM 是防止橫向移動的一個重要部分。使用者權限必須得到嚴格管理:如果使用者擁有的權限超過他們嚴格需要的權限,帳戶盜用的後果就會變得更加嚴重。此外,使用雙重驗證 (2FA) 可以幫助阻止橫向移動。在一個使用 2FA 的系統中,獲得使用者認證並不足以讓攻擊者入侵一個帳戶;攻擊者還需要竊取次要驗證權杖,這要困難得多。

Cloudflare One 將網路服務與 Zero Trust 安全服務相結合。它與身分管理和端點安全性解決方案整合,以便使用一個可阻止橫向移動和其他攻擊的單一平台取代拼湊的安全產品。瞭解有關 Cloudflare One 的更多資訊。