Movimentação lateral: entenda como funciona e saiba detectar

As técnicas utilizadas para que cibercriminosos se movam através de uma rede têm nome: movimentação lateral. Ele ocorre quando uma vulnerabilidade permitiu o sucesso de um ataque e permitiu que o invasor se movimente pela rede em busca de novos nós até encontrar dados e ativos importantes.

A movimentação lateral é amplamente utilizada em ataques mais sofisticados, como os causados por ameaças persistentes avançadas (APTs), e visa acessar outros hosts, como caixas de correio, pastas compartilhadas ou credenciais, para ter acesso a informações críticas e confidenciais da organização.

Ele é um componente importante de diversos ataques de ransonware conhecidos, sendo responsável por violações de dados que impactaram milhões de usuários, como o caso da Target, onde o acesso inicial se deu por meio de credenciais de um fornecedor e que depois, devido ao movimento lateral, navegou por sistemas de pontos de venda (POS).

Exatamente por fazer essa movimentação, detectar o movimento lateral não é nada simples, portanto, compreender como ele acontece e, principalmente, como evitá-lo é crucial para uma postura de segurança cibernética robusta.

Como funciona a movimentação lateral

O movimento lateral, como citado acima, consiste em táticas usadas por cibercriminosos para se movimentar no ambiente de rede de um determinado alvo e alcançar seu objetivo. Muitos tipos de ataques cibernéticos utilizam a movimentação lateral para ter sucesso. Um simples golpe de phishing pode ser o precursor de um ataque mais sofisticado que visa se movimentar pela rede do alvo. Outros tipos de ataques incluem ransomware, ataques de botnets, exfiltração de dados e espionagem cibernética.

A lista de técnicas mais utilizadas envolve a exploração de serviços remotos, spearphishing interno, transferência lateral de ferramenta, sequestro remoto, protocolo de área de trabalho remota, login do serviço em nuvem e token de acesso ao aplicativo.

Apesar de parecer extensa, essa lista destaca as várias maneiras que um invasor busca ter acesso completo a uma rede assim que conquista seu acesso. E as técnicas utilizadas para o movimento lateral variam de acordo com as ferramentas que o cibercriminoso possui e quais são mais eficientes e com mais recursos para evitar sua identificação.

O que faz o movimento lateral ser de difícil detecção

A movimentação lateral aproveita o tráfego “leste/oeste”, como é conhecido o tráfego comum em uma rede, por exemplo, quando o usuário abre a caixa de e-mail, faz login em um aplicativo na nuvem ou acessa dados. Enquanto o tráfego chamado “norte/sul” é aquele de entrada e saída da rede, e que provavelmente terá algum comportamento suspeito detectado por firewalls ou ferramentas de proteção de endpoints.

Esse processo consiste em algumas etapas:

Reconhecimento externo

Para um ataque ser bem-sucedido, o primeiro passo é fazer um reconhecimento do alvo. Isso inclui realizar uma varredura na rede externa, mídias sociais e despejo de senhas. O objetivo desse processo é compreender como a rede funciona, suas vulnerabilidades e entender qual o melhor vetor de ataque que pode ser utilizado.

Infiltração inicial

Identificado o vetor de ataque, o invasor explora uma vulnerabilidade para ter acesso à rede. Esse vetor pode variar de acordo com a vulnerabilidade, o dispositivo utilizado ou o aplicativo acessado para realizar um movimento vertical, de fora para dentro.

Reconhecimento interno

O próximo passo é coletar informações sobre sistemas operacionais, hierarquia de rede e recursos utilizados nos servidores para mapear o ambiente e encontrar novas vulnerabilidades. Para isso, diversos utilitários do sistema operacional, como Netstat, IPConfig, cache ARP, tabela de roteamento local e o PowerShell, podem ser utilizados, além de páginas de intranet inseguras.

Roubo de credenciais

Com o acesso à rede, invasores começam a procurar novos dispositivos para controlar. Para isso, eles precisam coletar credenciais de usuários válidas por meio de keyloggers, sniffer de rede, ataque de força bruta ou phishing. Entretanto, é muito comum encontrar essas credenciais em páginas na intranet, scripts ou em arquivos e sistemas acessíveis. Com essas informações, o invasor consegue aumentar seus privilégios e expandir seu acesso até conseguir o controle total do domínio.

Comprometer sistemas

Agora, o invasor pode usar as credenciais para acessar seus alvos. Por meio de ferramentas de controle remoto, PowerShell, protocolo de desktop remoto ou software de acesso remoto, eles podem acessar facilmente os sistemas e criar uma conexão persistente com a rede para abrir múltiplas vias de acesso. Por fim, o invasor irá exfiltrar dados por meio de técnicas de compactação, criptografia e transferência programada para evitar ser detectado.

Detectando o movimento lateral

É um grande desafio para as equipes de segurança cibernética detectarem o movimento lateral. Invasores utilizam ferramentas e credenciais legitimas e aproveitam processos comumente usados para que suas tentativas de invasão sejam confundidas com o tráfego normal. Mas existem algumas estratégias e ferramentas que auxiliam na detecção de atividades suspeitas na rede:

Monitore o comportamento do usuário

Monitorar e analisar o comportamento do usuário ajuda a encontrar anormalidades, como padrões de acesso incomum, que auxiliam na identificação do movimento lateral. Ferramentas UEBA são as indicadas para a tarefa.

Segmentação da rede

Divida a rede em segmentos menores e implemente uma estratégia que limite o acesso entre eles para restringir o movimento lateral e facilitar a detecção de padrões incomuns de tráfego.

Revise contas privilegiadas

Monitore os privilégios nas contas e garanta que o acesso seja limitado apenas para dados e aplicativos necessários para o trabalho, revisando os privilégios regularmente.

Revise a atividade da conta de serviço

Monitore as contas de serviço para identificar anormalidades no acesso a novos sistemas ou tentativa de trocas de login.

Implante sistemas IDS e IPS

As tecnologias de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) ajudam a identificar e bloquear atividades suspeitas na rede e padrões de ataques conhecidos.

Monitore o tráfego de rede

A análise do tráfego de rede permite encontrar padrões incomuns, como picos de transferência de dados, portas incomuns ou conexões com endereços IP maliciosos.

Monitore atividades de endpoint

Ferramentas de detecção e resposta de endpoint (EDR) rastreiam atividades anormais nos endpoints e detectam execuções incomuns de processos ou modificações em arquivos.

Implemente um sistema de autenticação forte

O uso da autenticação multifator (MFA) reduz a possibilidade de invasores utilizarem credenciais comprometidas para a movimentação lateral.

Aplique patches e atualizações

Manter aplicativos, sistemas operacionais e firmware atualizados com patches de segurança mais recentes reduz vulnerabilidades utilizadas para exploração da rede.

Invista em treinamento e conscientização de segurança

Educação é fundamental para evitar riscos cibernéticos e ajudar os funcionários a identificarem possíveis ataques de phishing que podem permitir que invasores tenham acesso à rede.

Existem inúmeras tecnologias e opções que podem ajudar a sua empresa na proteção do ambiente contra a movimentação lateral. Entre em contato conosco para saber mais.

A transformação começa agora.

Política de Privacidade

Onde estamos

Rua Pais Leme, 215, sala 418, Pinheiros – São Paulo
CEP: 05424-150

© Evolutia – Todos os direitos reservados.

Desenvolvido pela Intelligenzia