Боковое движение относится к методам, которые кибер-злоумышленник использует после получения первоначального доступа, чтобы углубиться в сеть в поисках конфиденциальных данных и других ценных активов. После входа в сеть злоумышленник сохраняет постоянный доступ, перемещаясь по скомпрометированной среде и получая повышенные привилегии с помощью различных инструментов.

Боковое движение — ключевая тактика, которая отличает современные продвинутые постоянные угрозы (APT) от упрощенных кибератак прошлого.

Боковое движение позволяет злоумышленнику избежать обнаружения и сохранить доступ, даже если он будет обнаружен на первой зараженной машине. А при длительном времени ожидания кража данных может произойти только через несколько недель или даже месяцев после первоначального взлома.

Получив первоначальный доступ к конечной точке, например, в результате фишинговой атаки или заражения вредоносным ПО, злоумышленник выдает себя за законного пользователя и перемещается по нескольким системам в сети, пока не будет достигнута конечная цель.

Достижение этой цели включает в себя сбор информации о нескольких системах и учетных записях, получение учетных данных, повышение привилегий и, в конечном итоге, получение доступа к идентифицированной полезной нагрузке.

Существует три основных этапа горизонтального перемещения: разведка, сбор учетных данных/привилегий и получение доступа к другим компьютерам в сети.

Разведка

Во время разведки злоумышленник наблюдает, исследует и отображает сеть, ее пользователей и устройства. Эта карта позволяет злоумышленнику понять соглашения об именовании хостов и сетевую иерархию, идентифицировать операционные системы, определить местонахождение потенциальной полезной нагрузки и получить информацию для принятия обоснованных действий.

Злоумышленники используют различные инструменты, чтобы узнать, где они находятся в сети, к чему они могут получить доступ и какие брандмауэры или другие сдерживающие факторы установлены.

Злоумышленник может использовать множество внешних настраиваемых инструментов и инструментов с открытым исходным кодом для сканирования портов, прокси-соединений и других методов, но использование встроенных инструментов Windows или инструментов поддержки дает то преимущество, что его труднее обнаружить.

Вот некоторые из встроенных инструментов, которые можно использовать во время разведки:

Netstat показывает текущие сетевые подключения машины. Это можно использовать для идентификации критических активов или для получения информации о сети.

IPConfig/IFConfig обеспечивает доступ к конфигурации сети и информации о местоположении.

Кэш ARP дает информацию об IP-адресе физическому адресу. Эта информация может использоваться для нацеливания на отдельные машины внутри сети.

В таблице локальной маршрутизации отображаются текущие пути связи для подключенного хоста.

PowerShell - мощный инструмент командной строки и сценариев, позволяет быстро идентифицировать сетевые системы, к которым текущий пользователь имеет доступ локального администратора.

После того, как злоумышленник определил критические области для доступа, следующим шагом будет сбор учетных данных для входа, которые позволят войти.

Сброс учетных данных и повышение привилегий

Для перемещения по сети злоумышленнику необходимы действительные учетные данные для входа. Термин, используемый для незаконного получения учетных данных, называется «сброс учетных данных».

Один из способов получить эти учетные данные — обманом заставить пользователей поделиться ими с помощью тактики социальной инженерии, такой как опечатка и фишинговые атаки. Другие распространенные методы кражи учетных данных включают в себя:

Pass the Hash - это метод аутентификации без доступа к паролю пользователя. Этот метод обходит стандартные этапы аутентификации, перехватывая действительные хэши паролей, которые после аутентификации позволяют злоумышленнику выполнять действия в локальных или удаленных системах.

Pass the Ticket - это способ аутентификации с использованием билетов Kerberos. Злоумышленник, скомпрометировавший контроллер домена, может создать «золотой билет» Kerberos в автономном режиме, который остается действительным в течение неопределенного времени и может использоваться для олицетворения любой учетной записи даже после сброса пароля.

Такие инструменты, как Mimikatz, используются для кражи кэшированных незашифрованных паролей или сертификатов аутентификации из памяти скомпрометированной машины. Затем их можно использовать для аутентификации на других машинах.

Инструменты кейлогинга позволяют злоумышленнику перехватывать пароли напрямую, когда ничего не подозревающий пользователь вводит их с клавиатуры.

Получение доступа

Процесс внутренней разведки с последующим обходом мер безопасности для компрометации последующих хостов может повторяться до тех пор, пока целевые данные не будут найдены и удалены. И по мере того, как кибератаки становятся все более изощренными, они часто содержат сильный человеческий фактор.

Это особенно верно для бокового движения, когда организация может столкнуться с необходимостью принятия различных мер безопасности и ответными действиями противника. Но поведение человека можно обнаружить — и перехватить — с помощью надежного решения для обеспечения безопасности.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.