Laterale Bewegungen: Die unsichtbare Gefahr nach dem ersten Einbruch : Welche Techniken Angreifer nutzen, um sich in kompromittierten Netzwerken auszubreiten und wie Unternehmen diese Bewegungen blockieren können

Nach dem ersten Eindringen in ein Netzwerk beginnen Angreifer typischerweise innerhalb von 30 Minuten mit lateralen Bewegungen, um ihre Kontrolle auszuweiten. Diese Techniken helfen ihnen, dauerhaften Zugriff zu etablieren, Berechtigungen zu erweitern und wertvolle Ziele wie Domain-Controller oder sensible Datenbanken zu erreichen.

Das MITRE ATT&CK-Framework stuft laterale Bewegungen als Kernstrategie moderner Cyberangriffe ein. Während der erste Zugang oft über Phishing oder kompromittierte Anmeldedaten erfolgt, verwandeln erst die lateralen Bewegungstechniken eine einzelne Sicherheitslücke in einen umfassenden Angriff.

Die häufigsten Angriffstechniken

Obwohl sich Cyberbedrohungen ständig weiterentwickeln, fallen viele laterale Bewegungstechniken in grundlegende Kategorien. Angreifer nutzen selten nur eine Methode, sondern kombinieren verschiedene Taktiken, um unentdeckt zu bleiben.

• Living off the Land (LotL): Bei dieser Methode verwenden Angreifer bereits im Betriebssystem vorhandene Tools wie PowerShell, PsExec oder Windows Management Instrumentation (WMI). Da diese Programme legitimer Bestandteil des Systems sind, fügt sich ihre Nutzung nahtlos in den regulären Netzwerkverkehr ein.
• Ausnutzen schwacher Passwörter: Einfache oder mehrfach verwendete Passwörter erleichtern Angreifern das Erraten, Knacken oder Wiederverwenden von Anmeldedaten auf verschiedenen Systemen.
• Pass-the-Hash-Angriffe (PtH): Hierbei nutzen Angreifer eine gehashte Version eines Passworts zur Authentifizierung, ohne es entschlüsseln zu müssen. Diese Technik ist besonders in Umgebungen wirksam, die das New Technology LAN Manager (NTLM) Protokoll verwenden und keine angemessene Segmentierung besitzen.
• Pass-the-Ticket-Angriffe (PtT): In Active Directory-Umgebungen verwenden Angreifer gestohlene Kerberos-Tickets, um sich als legitime Benutzer auszugeben. Bei Golden-Ticket-Angriffen wird das Ticket Granting Ticket (TGT) gestohlen, was Zugriff auf nahezu alle Ressourcen ermöglicht. Silver-Ticket-Angriffe nutzen gestohlene Servicetickets für eingeschränkteren Zugang.
• Internes Spear-Phishing: Nach Kompromittierung eines Kontos versenden Angreifer täuschend echte Phishing-E-Mails innerhalb des Unternehmens. Diese Methode ist besonders erfolgreich, da die Nachrichten von bekannten internen Absendern stammen.
• Kerberoasting: Bei dieser Technik werden Servicetickets für bestimmte Konten angefordert und offline geknackt. Besonders anfällig sind Servicekonten mit schwachen Passwörtern und Administratorrechten. Kerberoasting erzeugt kaum ungewöhnliche Netzwerkaktivitäten und bleibt daher oft unentdeckt.
• Credential Dumping: Hierbei werden Benutzernamen, Passwort-Hashes oder Klartext-Anmeldedaten aus dem Speicher, lokalen Dateien oder der Registrierung extrahiert und für weitere Angriffe verwendet.
• Remote Desktop Protocol (RDP) und Windows Remote Management (WinRM): Mit gestohlenen Anmeldedaten greifen Angreifer über diese Dienste auf entfernte Systeme zu und führen Aktionen als angemeldete Benutzer aus. Ohne strenge Kontrollen wie Multi-Faktor-Authentifizierung (MFA) bleiben solche Aktivitäten oft lange unentdeckt.
• Server Message Block (SMB): Angreifer nutzen das SMB-Protokoll, um mit gestohlenen Anmeldedaten auf Netzwerkfreigaben zuzugreifen. Da SMB standardmäßig für den Zugriff auf Dateien und Drucker verwendet wird, bietet es einen einfachen Weg für laterale Bewegungen.
• SSH-Hijacking: 
  Bei dieser Methode kapern Angreifer aktive SSH-Sessions (Secure Shell), um denselben Zugriff wie legitime Benutzer zu erhalten und Befehle auf entfernten Systemen auszuführen.

Warum Erkennung allein nicht ausreicht

Viele Unternehmen verlassen sich auf Endpoint Detection and Response (EDR)-Systeme oder Security Information and Event Management (SIEM)-Plattformen, um laterale Bewegungen zu erkennen.

António Vasconcelos von Zero Networks erklärt: „Dies sind Bereiche der nachträglichen Ereigniserkennung. Obwohl viel Aufwand in Prävention fließt, sind letztendlich Maßnahmen erforderlich, um den Punkt zu erreichen, an dem eine Warnung ausgegeben wird.“

Das Problem: Sobald Angreifer im Netzwerk aktiv sind, schwindet das Zeitfenster für wirksame Gegenmaßnahmen rapide. Da viele laterale Bewegungstechniken native Tools oder gültige Konten nutzen, ist die Unterscheidung zwischen schädlichen und legitimen Aktivitäten schwierig. Anstatt sich ausschließlich auf Erkennung zu verlassen, müssen Unternehmen laterale Bewegungen aktiv verhindern.

Laterale Bewegungen blockieren statt nur erkennen

Das Patchen von Einstiegspunkten reicht nicht aus, um laterale Bewegungen zu unterbinden. Effektive Strategien kombinieren Netzwerksegmentierung, Identitätskontrollen und Echtzeit-Zugriffskontrolle:

• Mikrosegmentierung: Diese Technik beschränkt die Kommunikation zwischen Systemen auf das ausdrücklich Erlaubte und isoliert Ressourcen nach dem Prinzip der geringsten Berechtigungen.
• Multi-Faktor-Authentifizierung im Netzwerk: MFA sollte nicht nur am Perimeter, sondern auch auf privilegierte Ports und Dienste innerhalb des Netzwerks angewendet werden, um Angriffe mit gestohlenen Anmeldedaten zu blockieren.
• Identitätsbasierte Zugriffskontrollen: Der Zugriff wird basierend auf verifizierter Identität und Zweck gewährt, nicht nur auf Basis von IP-Adresse oder Standort.
• Automatisierte Richtlinienverwaltung: Automatisierte Lösungen können Regeln basierend auf beobachtetem Verhalten dynamisch generieren und Richtlinien kontinuierlich an sich ändernde Umgebungen anpassen.

Selbst wenn Angreifern der initiale Zugang gelingt, können diese Maßnahmen laterale Bewegungen unterbinden und die Ausbreitung im Netzwerk verhindern.

Autor

Kay Ernst ist Experte für Mikrosegmentierung bei Zero Networks.