Definição de movimento lateral

O que é movimento lateral?

O movimento lateral descreve as técnicas empregadas por um ciber atacante que, após obter acesso inicial a uma rede, quer se aprofundar mais nela, com o objetivo de localizar dados confidenciais e outros ativos de alto valor. Uma vez dentro da rede, o invasor tenta manter acesso contínuo, se movendo lateralmente no ambiente comprometido e obtendo cada vez mais privilégios pelo uso de várias ferramentas.

O movimento lateral é uma tática fundamental que distingue as ameaças persistentes avançadas (APTs) atuais dos ciber ataques mais simples do passado.

Essa técnica permite que um ator de ameaças evite a detecção e mantenha o acesso dele, mesmo que a presença seja identificada no sistema inicialmente comprometido. Com um tempo de permanência prolongado, o roubo de dados pode ocorrer só semanas ou meses depois do ataque inicial.

Após obter acesso inicial a um endpoint, seja por meio de um ataque de phishing ou da infecção por malware, o invasor passa a se comportar como um usuário legítimo, se movendo por múltiplos sistemas na rede até atingir o objetivo final. O objetivo envolve a coleta de informações sobre vários sistemas e contas, a obtenção de credenciais, a escalada de privilégios e, por fim, o acesso ao payload identificado.

Etapas comuns do movimento lateral

O movimento lateral se divide em três etapas principais: reconhecimento, coleta de credenciais e/ou escalonamento de privilégios e acesso a outros computadores dentro da rede.

Reconhecimento

Na fase de reconhecimento, o invasor faz uma observação minuciosa, explorando e mapeando a rede, seus usuários e dispositivos. Com esse mapa, o invasor consegue entender as convenções de nomenclatura de hosts e a hierarquia da rede, identificar os sistemas operacionais em uso, localizar possíveis payloads e obter informações valiosas para planejar seus próximos movimentos.

Os atores de ameaças empregam várias ferramentas para determinar sua localização dentro da rede, os recursos aos quais podem ter acesso e as medidas de segurança existentes, como firewalls e outros mecanismos de proteção. Ainda que um invasor possa usar várias ferramentas externas, personalizadas ou de código aberto, para realizar varreduras de portas, estabelecer conexões proxy e outras técnicas, o uso de ferramentas nativas do Windows ou utilitários de suporte oferece a vantagem de dificultar a detecção das atividades.

Estas são algumas ferramentas internas que podem ser usadas no reconhecimento:

• O Netstat exibe as conexões de rede ativas na máquina. Pode ser usado para identificar ativos críticos ou obter informações sobre a topologia da rede.
• O IPConfig/IFConfig fornece acesso à configuração de rede e informações de localização do dispositivo.
• O cache ARP mapeia endereços IP para endereços físicos. Essas informações podem ser usadas para atacar máquinas específicas dentro da rede.
• A tabela de roteamento local mostra os caminhos de comunicação atuais para o host conectado.
• O PowerShell, uma ferramenta de linha de comando e scripting poderosa, que permite identificar rapidamente os sistemas na rede aos quais o usuário atual possui acesso administrativo local.

Depois de identificar as áreas críticas que quer acessar, o passo seguinte do invasor é coletar credenciais de login que permitam a entrada.

Dumping de credenciais e elevação de privilégios

Para se movimentar lateralmente em uma rede, o invasor precisa de credenciais de login válidas. A prática de obter credenciais de forma ilícita é chamada de “dumping de credenciais.”  Uma das formas de fazer isso é induzir os usuários a compartilhar credenciais por meio de táticas de engenharia social, como typosquatting (registro de domínios com erros de digitação) e ataques de phishing. Outras técnicas comuns para roubo de credenciais incluem:

• Pass the Hash é uma técnica que permite a autenticação sem que o atacante precise ter acesso à senha do usuário. Essa técnica pula as etapas de autenticação padrão, capturando hashes de senha válidos que, depois de autenticados, permitem que o invasor aja em sistemas locais ou remotos.
• Pass the Ticket é uma técnica de ataque que usa tíquetes do Kerberos. Um invasor que tenha comprometido um controlador de domínio pode gerar um "golden ticket" do Kerberos off-line, um tipo de credencial que é válida indefinidamente e que permite que ele se passe por qualquer conta, mesmo que a senha da conta seja alterada depois.
• Ferramentas como o Mimikatz são usadas para extrair senhas em textos não criptografados em cache ou certificados de autenticação da memória de uma máquina comprometida. Essas credenciais roubadas podem ser usadas para autenticação em outros sistemas da rede.
• As ferramentas de keylogging permitem que os invasores capturem senhas diretamente no momento em que um usuário as digita no teclado.

Obtenção de acesso

O processo de realizar reconhecimento interno e, em seguida, contornar os controles de segurança para comprometer hosts sucessivos pode ser repetido até que os dados visados sejam encontrados e exfiltrados. Além disso, à medida que os ataques cibernéticos evoluem em sofisticação, um forte componente humano se torna evidente. Essa característica é particularmente relevante no movimento lateral, onde uma organização pode se ver envolvida em um jogo de "polícia e ladrão" com o invasor, com movimentos e contramovimentos dos dois lados. No entanto, o comportamento humano, até mesmo o mais sutil, pode ser detectado — e interceptado — por uma solução de segurança robusta e eficaz.

Detecção e prevenção de movimento lateral

Quando um invasor consegue privilégios administrativos e, consequentemente, ainda mais acesso a uma rede, o movimento lateral malicioso pode ser extremamente difícil de detectar, pois pode ser facilmente confundido com o tráfego de rede "normal". A detecção fica ainda mais difícil devido à capacidade de invasores humanos adaptarem seus planos e implementar várias técnicas e ferramentas com base nas informações coletadas no ataque. Quando o adversário usa ferramentas nativas do sistema, a detecção se torna um desafio ainda maior. É fundamental identificar e remover esses invasores o mais rápido possível, a fim de evitar perdas significativas.

Tempo para comprometimento e a Regra 1-10-60

Tempo para comprometimento  se refere ao intervalo entre o momento em que um invasor compromete um sistema e o início do movimento lateral para outros sistemas dentro da rede. No ano passado, a CrowdStrike registrou um tempo para comprometimento médio de 1 hora e 58 minutos. Isso significa que uma organização tem, em média, cerca de duas horas para detectar, investigar e remediar ou conter a ameaça. Ultrapassar esse limite de tempo aumenta muito o risco do adversário conseguir roubar ou destruir dados e ativos críticos.

No campo do ciberespaço, a velocidade é um fator crítico para a vitória. A única forma de superar um adversário é agir mais rápido do que ele — detectando, investigando e neutralizando uma intrusão dentro do “tempo para comprometimento.”

Empresas líderes do setor privado se esforçam para seguir o que a CrowdStrike chama de regra 1-10-60 — detectar uma intrusão em 1 minuto, investigar em 10 minutos e isolar ou resolver o problema em 60 minutos. Quanto mais tempo um adversário tiver para realizar o movimento lateral durante um tempo de permanência prolongado, maiores as chances de sucesso do ataque.

Etapas para impedir o movimento lateral

Há três medidas críticas que você pode e deve adotar para fortalecer suas defesas e reduzir drasticamente, ou até eliminar, o tempo de permanência e suas consequências negativas.

Etapa 1: modernize sua solução de segurança de endpoint

Muitos ataques de grande repercussão se desenrolaram ao longo de meses de tempo de permanência, com invasores se movendo lateralmente pela rede e burlando as defesas de segurança convencionais com facilidade. Os invasores modernos contam com a persistência de muitas organizações em usar soluções de segurança legadas ou consideradas "padrão" — tecnologias que são facilmente contornadas pelas ferramentas de hacking contemporâneas. A atualização para uma tecnologia abrangente que inclua capacidades de antivírus de nova geração e análise comportamental se tornou uma medida obrigatória se o seu objetivo for combater os ataques sofisticados de hoje em dia.

O painel da CrowdStrike oferece visibilidade imediata das detecções

Além disso, reavalie sua estratégia de segurança para garantir que você tenha a abordagem de segurança mais eficaz possível, uma que inclua tanto tecnologia de prevenção para impedir tentativas de invasão quanto detecção e resposta de endpoint (EDR) completas para detectar automaticamente atividades suspeitas. Ter ambas as capacidades em um único agente é um primeiro passo essencial.

Etapa 2: faça uma investigação proativa de ameaças avançadas

Muitas organizações são vítimas de ataques não pela ausência de alertas, mas sim pelo seu excesso, o que dificulta a investigação. O excesso de alertas e a alta taxa de falsos positivos podem levar à chamada fadiga de alertas.

Se suas soluções de segurança geram um excesso de falsos positivos, ou se você recebe alertas sem contexto e sem critérios de priorização, é só questão de tempo até que um alerta crítico seja ignorado em meio à avalanche de notificações. É fundamental que especialistas experientes monitorem proativamente o que acontece no ambiente e enviem alertas detalhados para as equipes só quando detectarem atividades realmente incomuns.

Considere capacitar suas equipes internas com uma solução de segurança que ofereça investigação de ameaças especializada e prática. Essa solução deve ser capaz de monitorar proativamente a rede em busca de ameaças ocultas, minimizar a ocorrência de falsos positivos e oferecer um sistema de priorização, garantindo que os alertas mais críticos sejam tratados com a máxima urgência.

Etapa 3: mantenha uma higiene de TI adequada

É essencial eliminar certas vulnerabilidades, como sistemas e softwares desatualizados ou sem as devidas correções que possam estar presentes no seu ambiente de rede. Exploits podem ficar escondidos por longos períodos antes de serem ativados, e as organizações correm sério risco se negligenciarem a aplicação de correções e atualizações em todos os endpoints.

Em última análise, a melhor defesa é garantir que sua organização esteja usando a tecnologia mais eficaz disponível no mercado e incorporando a regra 1-10-60 na estratégia de cibersegurança.

Alcançar esse padrão de excelência exige soluções de última geração, como a plataforma CrowdStrike Falcon®, que oferece detecção e resposta de endpoint (EDR), investigação gerenciada de ameaças, antivírus da próxima geração com análise comportamental e machine learning, e  inteligência de ameaças automatizada. Essas ferramentas são a chave para você obter a visibilidade e o contexto necessários para atender métricas críticas, centradas em resultados, e vencer os adversários mais sofisticados de hoje e de amanhã.