Den typ av attack som utnyttjar förtroendeförhållanden mellan datorer för att kompromissa med ett specifikt mål kallas en
lateral rörelseattack .
Så här fungerar det:
1. Inledande kompromiss: Angripare får först fotfäste i ett nätverk, ofta genom phishing, utnyttjande av sårbarheter eller använder stulna referenser.
2. Upprätta förtroende: Angriparen utnyttjar sedan befintliga förtroendeförhållanden mellan datorer i nätverket. Detta förtroende kan komma från:
* Domänförtroende: I Active Directory -miljöer finns förtroendeförhållanden mellan domäner, vilket gör att användare inom en domän kan komma åt resurser i en annan.
* Lokala administratörsrättigheter: Om en användare har lokala administratörsrättigheter på flera maskiner kan angripare använda dessa referenser för att flytta i sidled mellan dem.
3. Lateral rörelse: Anfallaren hoppar från en komprometterad dator till en annan, ofta riktar sig mot system med värdefull data eller högre privilegier.
Vanliga tekniker som används i laterala rörelseattacker:
* pass-the-hash: Angripare stjäl hashade referenser och använder dem för att verifiera till andra system utan att behöva det faktiska lösenordet.
* Golden Ticket: Utnyttja sårbarheter i Kerberos -autentisering för att skapa förfalskade biljetter som ger åtkomst till alla system.
* Fjärrtjänstskapande: Installera skadliga tjänster på fjärrsystem för att få ihållande åtkomst.
* Utnyttjande av programvaru sårbarheter: Utnyttja kända sårbarheter i applikationer eller operativsystem för att få fjärråtkomst.
Skydda mot attacker av laterala rörelser:
* princip för minst privilegium: Ge användare och applikationer bara den åtkomst de behöver för att göra sitt jobb.
* Stark lösenordspolicy: Tvinga upp komplexa lösenord och rotera dem regelbundet.
* Multi-Factor Authentication (MFA): Implementera MFA för att förhindra obehörig åtkomst även om referenser komprometteras.
* Nätverkssegmentering: Dela nätverket i mindre, isolerade segment för att begränsa effekterna av ett överträdelse.
* Säkerhetsövervakning och hotdetektering: Använd säkerhetsverktyg för att övervaka nätverksaktivitet, upptäcka misstänkt beteende och svara snabbt på incidenter.
