Un problema insidioso della cyber security è il Lateral Movement, in quanto molto difficile da rilevare e contrastare. Se un’azienda ha estrema fiducia nei software applicativi che girano all’interno della intranet e fonda la sua sicurezza pensando che i dipendenti non darebbero mai le proprie credenziali al reparto IT qualora venissero richieste, allora sarebbe il target ideale per una campagna criminale di Lateral Movement. Proviamo a spiegare perché.
Indice degli argomenti
Cos’è il “movimento laterale” e come viene sviluppato
Il movimento laterale intrusivo di rete, o Lateral Movement, in cyber security si riferisce a una tecnica utilizzata dagli hacker per spostarsi progressivamente da un punto di ingresso compromesso al resto della rete mentre cercano dati sensibili o altre risorse di alto valore da sottrarre.
Dire che il movimento laterale è equivalente al solo fatto di scalare privilegi, è riduttivo. Per compromettere una macchina, i criminali informatici utilizzano tecniche tipo infezioni malware o attacchi di phishing, quindi si mascherano da utenti autorizzati mentre cercano di scalare privilegi verso l’alto per guadagnare accessi elevati.
Ciò consente agli aggressori di spostarsi lateralmente (tra dispositivi e app o tra account) attraverso una rete. Gli attacchi di Lateral Movement vengono utilizzati dagli intrusi per scansionare il sistema e trovare attraverso credenziali nuove macchine da compromettere.
Primi rilevamenti del Lateral Movement nel perimetro aziendale
L’attaccante utilizzerà diversi strumenti e metodi per scalare privilegi e accessi elevati: ciò gli consentirà di spostarsi lateralmente attraverso la rete per mappare i sistemi, le topologie, identificare obiettivi e infine raggiungere i punti critici dell’organizzazione.
Se l’aggressore è in grado di proteggere i privilegi amministrativi che è riuscito a ottenere, le attività di traffico di spostamento laterale dannose possono essere estremamente difficili da rilevare, in quanto possono apparire come traffico di rete “normale” ai tecnici IT e ai sistemi di rilevamento automatico di traffico di rete.
I criminali informatici, di solito, non si preoccupano di essere scoperti quando utilizzano tecniche di Lateral Movement, poiché la maggior parte delle organizzazioni non ha i mezzi per rilevarlo o talvolta non si preoccupa di farlo anche perché gli IT sono sempre oberati di lavoro.
Anche se lo facessero, un’attività di movimento laterale può essere difficile da notare perché una volta che un criminale informatico ha ottenuto l’accesso, i suoi movimenti apparirebbero come normali agli amministratori della sicurezza, anche all’interno delle applicazioni.
Poiché hanno già ottenuto l’accesso, diventa difficile distinguere tra un perpetratore e un utente legittimo.
Un dato fondamentale per incrociare e smascherare movimenti laterali è un match accurato con l’ufficio delle presenze del personale per capire quando un utente è assente; in questo modo, un determinato traffico può diventare anomalo basandosi sulle assenze dei collaboratori. Assegnare orari fissi per determinate attività amministrative è anche un ottimo metodo per contrastare il Lateral Movement.
Metodi più comuni per applicare il Lateral Movement
Come abbiamo già detto, una volta che un criminale informatico acquisisce l’accesso a una rete, il movimento laterale può essere particolarmente difficile da scoprire in quanto può assomigliare esattamente a traffico di rete legittimo.
Inoltre, un malintenzionato può modificare i propri piani d’azione e implementare diversi metodi e strumenti in base alle informazioni ricevute.
A peggiorare il quadro, quando un malintenzionato utilizza strumenti di sistema integrati (utilizzati dagli amministratori di rete per eseguire azioni senza alcun input da parte degli utenti finali), il riconoscimento diventa ancora più difficile.
L’affollamento di avvisi lo rende difficile da rilevare
La sovrabbondanza di avvisi di sicurezza e falsi positivi è una sfortunata realtà, che fa sì che analisti oberati di lavoro e poco addestrati diventino desensibilizzati ai tipi di avvisi innescati da attacchi di movimento laterale, come le “violazioni delle politiche”.
Questi avvisi possono spesso sembrare piccoli e insignificanti perché sono molto comuni e non indicano necessariamente una violazione.
Per esempio, si prenda in considerazione l’invio di avvisi su qualsiasi istanza del protocollo SMB sulla rete. Ciò consente agli analisti di ignorare facilmente gli avvisi potenzialmente importanti, ma spesso dissociati, o di contrassegnarli come “non dannosi” senza ulteriori indagini.
Comprendere la propria rete aumenta la visibilità degli attacchi
Comprendere le caratteristiche basate sulla rete prima di un attacco di Lateral Movement può aiutare a identificarne uno mentre si verifica.
Gli strumenti di analisi dei pacchetti possono aiutare a identificare le caratteristiche della rete, che possono quindi aiutare gli analisti della sicurezza a rispondere ad alcune specifiche domande: quali dispositivi stanno comunicando, come vengono identificati, dove si trovano, quando avviene la vera comunicazione (rispetto alla semplice installazione dell’applicazione su un sistema).
È anche importante comprendere le tecniche adottate dagli aggressori per oscurare il proprio comportamento e aggirare le comuni tecnologie di sicurezza della rete al fine di identificare meglio gli attacchi di Lateral Movement.
L’arte di scovare le minacce
La caccia alle minacce è una parte importante del rilevamento del movimento laterale, poiché consente agli analisti della sicurezza di indagare in modo pro-attivo sull’attività di rete per identificare anomalie che altri metodi di indagine non rilevano.
Come accennato in precedenza, la maggior parte delle tecnologie di rilevamento evita di allertare il potenziale movimento laterale a causa del rumore che può generare. Pertanto, la caccia alle minacce è l’unico modo efficace per differenziare il vero movimento laterale dalla normale attività di rete giustificata in azienda.
Tipi di attacchi si usano per il Lateral Movement
Molti tipi di attacchi utilizzano il movimento laterale per raggiungere il maggior numero possibile di dispositivi o per spostarsi all’interno della rete fino al raggiungimento di un determinato obiettivo. Ecco alcuni esempi.
- Attacchi botnet: i dispositivi che vengono rilevati dai criminali informatici possono essere aggiunti a una botnet. Le botnet sono spesso impiegate negli attacchi Distributed Denial-of-Service (DDoS), ma possono essere utilizzate anche per una serie di altri scopi dannosi. Utilizzando il movimento laterale, un hacker può connettere il maggior numero possibile di dispositivi alla propria botnet, rendendola più forte.
- Attacchi ransomware: come è noto, è un sofisticato malware che crittografa i dati cruciali per i processi quotidiani di un’organizzazione. Dopo che l’infezione si è verificata, le vittime ricevono un messaggio che informa che è necessario pagare una certa somma di denaro (riscatto) per ottenere la chiave di decrittazione. Normalmente, c’è anche un limite di tempo per completare il pagamento, altrimenti i file potrebbero andare persi per sempre. Una volta attivato, il ransomware interromperà gravemente le operazioni dell’azienda, almeno temporaneamente se non si conta con un ottimo backup dati.
- Trasferimento dei dati: è l’atto di sottrarre intenzionalmente informazioni riservate dall’interno di un’organizzazione verso l’esterno del perimetro senza autorizzazione. Per ottenere i dati che si desiderano, i malintenzionati di solito devono spostarsi lateralmente dal loro punto iniziale di intrusione. Il trasferimento dei dati può essere eseguita tramite hacking, software dannoso e attacchi di ingegneria sociale. I criminali informatici trasferiscono dati per:
- rubare la proprietà intellettuale;
- ottenere informazioni riservate per condurre furti di identità;
- conservare i dati rubati a scopo di riscatto (negli attacchi ransomware).
- Campagne di spionaggio informatico: il cyber spionaggio è una pratica comune tra paesi o gruppo politici opposti, gruppi di hacker e organizzazioni ovunque, indipendentemente dal motivo, eseguono questo tipo di attività. Quando l’intenzione dell’hacker è solo la sorveglianza, senza guadagno finanziario, faranno del loro meglio per rimanere nascosti e impiantati nella rete il più a lungo possibile. Si differenzia da un attacco ransomware, in cui l’hacker rende note le sue intenzioni per ricevere il riscatto.
Le fasi del Lateral Movement
Il movimento laterale è suddiviso in tre fasi principali: ricognizione, ottenimento delle credenziali e ottenimento dell’accesso ad altre macchine della rete.
Riconoscimento o ricognizione
A volte, gli hacker possono escogitare una strategia per ottenere l’accesso al sistema. L’attacco inizia con l’osservazione e la raccolta di informazioni. Durante questa fase, gli hacker notano, esplorano e tracciano meticolosamente la rete, le sue macchine e gli utenti. Questo piano li aiuta a fare mosse informate, comprendere i sistemi di denominazione, il ranking della rete e riconoscere i sistemi operativi.
I criminali informatici utilizzano una serie di strumenti per capire dove si trovano all’interno del sistema, a cosa possono accedere e quale sistema di sicurezza della rete o altri impedimenti esistono. Durante la fase di ricognizione, gli aggressori avanzati possono utilizzare gli strumenti di supporto integrati di Windows in quanto i team di sicurezza e IT di solito hanno difficoltà a notarli perché già preposti a funzionare dai firewall software dei sistemi operativi.
Molti criminali informatici utilizzano i classici strumenti di accesso remoto per connettersi ai desktop in remoto per ottenere l’accesso e avviare un attacco di movimento laterale. Molti strumenti di accesso remoto sono utilizzati legittimamente all’interno delle aziende e non sono considerati malware. Tuttavia, questi strumenti aggirano attivamente i controlli di rete, oscurando quali parti stanno comunicando, quando e come.
Questa capacità di non farsi notare è attraente sia per i malintenzionati interni che per gli aggressori esterni.
Quindi la ricognizione consiste in osservare, esplorare e mappare la rete, i suoi utenti e dispositivi. Questa mappa consente agli attori malintenzionati di compiere mosse informate, comprendere le convenzioni di denominazione e le gerarchie di rete e identificare potenziali tipi di attacchi.
Ottenimento delle credenziali (dumping)
A questo punto, i criminali informatici devono raccogliere credenziali di accesso valide per continuare a muoversi attraverso la rete compromessa. Il dumping delle credenziali è un termine utilizzato per descrivere l’ottenimento fraudolento di credenziali. Queste credenziali possono essere raccolte utilizzando strumenti, come keylogger (che tiene traccia del tipo di chiavi degli utenti), Mimikatz e Windows Credential Editor.
Un altro modo per ottenere credenziali di accesso è indurre gli utenti a condividerle, utilizzando ingegneria sociale con strategie “typosquatting” e attacchi di tipo phishing o smishing.
Un attacco di forza bruta è un’altra pratica possibile, in cui un hacker indovina una password e la utilizza per raccogliere, archiviare e rubare informazioni. Questo sistema non è molto amato dai malintenzionati in quanto è un metodo rumoroso per i sistemi automatici di rilevamento di traffico anomalo. Anche utilizzando controlli grossolani dei Log, gli attacchi di forza brutta si possono scovare facilmente.
In sintesi per muoversi attraverso una rete, i criminali informatici devono raccogliere le credenziali di accesso necessarie. Gli accessi possono essere raccolti utilizzando una varietà di strumenti come descritto sopra. Come detto prima a causa del “rumore di rete” il metodo dell’attacco di forza bruta, in cui un criminale essenzialmente indovina una password e la utilizza per raccogliere, impacchettare e rubare dati, non è molto usato per il Lateral Movement.
Al fine di mitigare gli attacchi di movimento laterale, gli analisti della sicurezza devono creare un’intelligenza di rete interna per sapere quali utenti e dispositivi si trovano su una rete e quali modelli di accesso tipici utilizzano abitualmente per indicare quando si verifica un abuso di credenziali.
Ottenere altri accessi
Il processo di ricognizione interna seguito dall’evasione dei controlli di sicurezza per compromettere gli host successivi può essere eseguito fino a quando i dati desiderati non vengono individuati ed estratti, e poiché gli attacchi informatici diventano sempre più avanzati, spesso contengono una potente componente umana.
Una volta che un criminale ha mappato una rete e dispone di una serie di password e privilegi, può infiltrarsi completamente e muoversi attraverso la rete. In questa fase è necessaria una logica di rilevamento sofisticata (basata sui comportamenti comunemente osservati nell’ambiente, nonché un rilevamento più generico di protocolli specifici, ad esempio errori Kerberos) per scoprire minacce che possono facilmente sfuggire agli IT.
Mitigazione e prevenzione del Lateral Movement
Viviamo in un mondo in cui si verificano violazioni ogni giorno. Pertanto, è importante che i team di sicurezza siano in grado di rilevare in modo rapido e accurato i movimenti laterali in modo da impedire agli attori malintenzionati di espandere la loro portata all’interno di un’organizzazione.
Un ottimo inizio quando si tratta di prevenzione e rilevamento del Lateral Movement sarebbe una migliore comprensione del concetto. È fondamentale sapere come funziona e quali sono i primi segnali per riconoscerlo. Ecco alcuni utili consigli:
- aggiornare regolarmente il software obsoleto: tutti i servizi, applicazioni, sistemi operativi ed endpoint dovrebbero utilizzare la versione più recente del software;
- rimuovere i sistemi che non sono stati aggiornati: proteggere i sistemi privi di patch separandoli dal resto della rete, magari creando una DMZ massicciamente protetta dai non autorizzati;
- filtrare le porte aperte: per aiutarsi a proteggersi da attacchi frequenti e infezioni da malware, assicurarsi che non ci siano porte aperte senza un valido motivo;
- attuare il principio del privilegio minimo: in questo modo, gli utenti possono avere accesso solo alle informazioni ed eseguire azioni di cui hanno bisogno per svolgere il proprio lavoro, impedendo di ottenere dati aggiuntivi che non li riguardano;
- mantenere una corretta igiene IT: per proteggersi dai movimenti laterali, è necessario assicurarsi che la propria organizzazione copra gli elementi di base della protezione della rete. Di solito, un attacco si verifica quando un’azienda ha un’igiene IT inadeguata;
- utilizzare password univoche: garantire l’utilizzo di password difficili da indovinare e sicure, Single Sign-On (SSO), autenticazione a più fattori (MFA) e protocolli di accesso limitati;
- eseguire continui backup dei dati riservati: L’integrazione di una solida strategia di backup per informazioni, sistemi e app critici aiuta a garantire la continuità aziendale in caso di violazione della sicurezza;
- rilevazione di minacce sofisticate: L’individuazione di minacce è un’azione di difesa informatica necessaria (monitoraggio con antivirus integrati ed intelligenti). Si riferisce al processo di ricerca attraverso le reti per scoprire e isolare le minacce avanzate che aggirano le soluzioni di sicurezza esistenti.
Per concludere
Al giorno d’oggi, gli attacchi informatici accadono continuamente e a qualsiasi tipo di organizzazione ed entità. Pertanto è essenziale che i team di sicurezza siano in grado di rilevare i Lateral Movement in modo rapido e corretto per impedire ai criminali informatici di espandere la loro portata all’interno di un’organizzazione.