Un atacante ha logrado romper su perímetro, sin que usted y su equipo de seguridad lo sepan. El intruso ahora recorre el terreno de la red, escondiéndose detrás de credenciales de usuario válidas y herramientas de administración legítimas como si fueran troncos de árboles y arbustos, saltando de un lugar a otro.
Esta es la fase de movimiento lateral, cuando el atacante usa técnicas para adentrarse más en la red en busca de lo que finalmente desea. Pueden ser datos financieros, propiedad intelectual, números de seguridad social, o lo que sea que el atacante considere las “joyas de la corona“. Y aunque la idea de un atacante motivado que acecha en sus sistemas puede ser intimidante, puede utilizar esta fase a su favor.
Según una investigación de Smokescreen, el movimiento lateral es la fase más larga de un ataque, ya que representa aproximadamente el 80% del marco temporal de un ataque. El intruso pasará semanas o incluso meses dentro de la red, moviéndose despacio y con cuidado. Esta inversión de tiempo es una de las razones por las que el movimiento lateral es la fase en la que los atacantes son más vulnerables a la detección. Si está al tanto de lo que debe vigilar y si tiene visibilidad en sus redes, puede exponer un movimiento en falso y hasta un atacante.
Los pasos básicos del movimiento lateral a menudo siguen un patrón similar. Una vez dentro de la red, el atacante generalmente establece una conexión con su servidor de comando y control. Luego, el atacante comenzará el reconocimiento de la red para comenzar a trazar el diseño de la red y descubrir sus usuarios y dispositivos. Se utilizan herramientas como netstat y nmap para este propósito. Sin embargo, hemos visto en el trabajo rutinario la utilización de herramientas visuales gratuitas par este fin.
El siguiente paso es la recolección de credenciales. El atacante intentará reunir credenciales de usuario válidas para poder moverse de un sistema a otro. Los atacantes utilizarán herramientas como Mimikatz o pwdump. Otros métodos para recopilar inicios de sesión incluyen el uso de registradores de teclas, analizadores de protocolos, contraseñas forzadas mediante ataque de fuerza bruta o el uso de phishing para engañar a las personas para que renuncien a las credenciales. El objetivo del atacante es, en última instancia, escalar los privilegios de administrador, para el mayor nivel de acceso y privilegio dentro de la red.
Al realizar el reconocimiento de la red, un atacante puede haber descubierto que la organización utiliza aplicaciones obsoletas. Luego, él o ella puede probar otra técnica de movimiento lateral al intentar explotar estas aplicaciones obsoletas con los exploits disponibles. El adversario puede optar por phishear a los empleados para intentar instalar una herramienta de acceso remoto en su estación de trabajo, y así obtener acceso a los servicios disponibles de ese empleado.
De acuerdo con el informe de investigación de violaciones de datos de Verizon de 2018, el movimiento lateral está desempeñando un papel más importante incluso en los ataques de ransomware. Los atacantes, en lugar de simplemente cifrar el primer dispositivo que infectan, buscarán ir más profundo dentro de la red para acceder a los servidores y datos más críticos.
Aprovechar esta etapa de ataque para exponer y erradicar al atacante es posible con la tecnología que ofrece visibilidad en su red, así como una buena comprensión del comportamiento anormal y anómalo. Y seguir prácticas como la segmentación de la red y la inclusión en la lista blanca de aplicaciones, hacer cumplir el principio de privilegios mínimos y exigir una autenticación multifactorial y contraseñas seguras hará que sea más difícil para los intrusos moverse incluso si ya están dentro.
Diversos fabricantes de seguridad ya cuentan con productos que integran la Detección y Respuesta de incidentes dentro de sus soluciones de endpoint como F-Secure Rapid Detection & Response.
.
Basado en la publicación de F-Secure: Lateral movement: Make it your opportunity for detection