O que é movimento lateral e escalada de privilégios?
Os ataques cibernéticos que envolvem movimento lateral e escalada de privilégios podem levar meses ou até anos para acontecer, e pode levar o mesmo tempo para que as equipes de segurança os descubram, momento em que uma quantidade significativa de danos já pode ter sido causada. É importante compreendermos exactamente o que são o movimento lateral e a escalada de privilégios para que possamos defender-nos melhor contra eles.
O que é movimento lateral e escalada de privilégios?
Em termos simples, movimento lateral é o processo pelo qual um invasor obtém acesso a uma rede e, em seguida, utilizando diversas ferramentas e técnicas, eleva seus privilégios para atingir seus objetivos (sejam eles quais forem), em um processo conhecido como escalonamento de privilégios. .
O invasor normalmente tentará obter um conjunto legítimo de credenciais por meio de algum tipo de técnica de engenharia social. Depois de comprometerem com sucesso uma conta de usuário, eles usarão os privilégios existentes para explorar a rede, coletando o máximo de informações possível sobre o software, os processos e as tecnologias de segurança usadas, na esperança de encontrar vulnerabilidades.
Tipos de ataques de escalonamento de privilégios
Existem dois tipos principais de escalonamento de privilégios que os invasores podem usar, a saber, escalonamento de privilégios Horizontal e Vertical.
O escalonamento horizontal de privilégios ocorre quando o invasor compromete uma conta de usuário e, em seguida, tenta elevar os privilégios dessa conta. Tal ataque envolve uma compreensão profunda das vulnerabilidades da rede e o uso de vários kits de exploração, como Mimikatz e Metasploit.
O escalonamento vertical de privilégios é um pouco mais fácil, pois envolve identificar e obter acesso a outras contas de usuários na rede com mais privilégios.
Quais técnicas específicas os invasores usam?
Existem várias técnicas que os adversários usam para se mover lateralmente e aumentar seus privilégios em sistemas Windows, que são as seguintes:
Reconhecimento de rede: envolve investigar vulnerabilidades na rede, identificar todos os usuários, grupos e computadores e tomar uma decisão sobre o melhor plano de ataque.
Pass-the-Hash (PtH): Um ataque pass-the-hash ocorre quando o invasor rouba uma senha com hash, geralmente raspando a memória ativa de um sistema ou alguma outra técnica, e então usa a senha com hash enganar um sistema de autenticação fazendo-o acreditar que o endpoint do invasor é um usuário legítimo. Para realizar um ataque pass-the-hash, o invasor precisará ser capaz de executar malware usando uma conta que tenha direitos de administrador local.
Kerberoasting: envolve a exploração do protocolo de autenticação Kerberos para extrair hashes de credenciais de contas de serviço de usuários do Active Directory. As contas de serviço normalmente têm privilégios maiores do que as contas de usuário normais, por isso os invasores estão tão interessados em obter acesso a elas.
Teclas aderentes do Windows: As teclas aderentes são recursos de acessibilidade do Windows, que também podem ser usados por invasores para obter privilégios administrativos em um dispositivo, mesmo sem um conjunto legítimo de credenciais.
Comandos internos do sistema: se o invasor já tiver comprometido uma conta de usuário com direitos de administrador local, ele poderá usar o comando psexec para escalar as permissões dessa conta para o nível do sistema.
Injeção de processos: os invasores às vezes usam uma ferramenta chamada “Process Injector” para identificar todos os processos ativos, as contas que executam esses processos e seus respectivos privilégios. Usando o Process Injector, os invasores podem explorar processos vulneráveis e potencialmente obter acesso a uma conta com maiores privilégios.
Como se defender contra movimentos laterais e escalada de privilégios
Estabeleça uma defesa forte contra ataques de engenharia social
Hoje em dia, a maioria dos ataques cibernéticos são iniciados através de ataques de engenharia social, como phishing, smishing e pretexting. Os invasores tentarão enganar vítimas inocentes para que forneçam credenciais ou outros tipos de informações que possam usar para entrar no mercado. Como ponto de partida, a defesa mais eficaz contra a engenharia social é treinar regularmente seus funcionários para estarem vigilantes na identificação e denúncia de e-mails, mensagens de texto e telefonemas suspeitos. Da mesma forma, seria sensato investir nas melhores tecnologias de filtragem antimalware/spam do mercado.
Tenha uma política de senha forte
Os invasores geralmente tentam usar “password spraying” para obter acesso à sua rede, o que envolve tentar fazer login em várias contas usando senhas previsíveis, como “password123”. Embora esses ataques de força bruta não sejam tão eficazes como antes, desde que haja apenas um funcionário com uma senha fraca, essas técnicas ainda podem ser lucrativas. Certifique-se de impor o uso de senhas fortes e complexas. Senhas longas são geralmente consideradas melhores do que senhas curtas e complexas, pois são mais fáceis de serem lembradas pelos funcionários, mas ainda assim complexas o suficiente para evitar que invasores as adivinhem. Também é uma boa ideia alternar periodicamente as senhas para ajudar na proteção contra ameaças persistentes avançadas (ATPs). Se você quiser ser mais seguro, considere usar a autenticação multifator (MFA), que requer um método de verificação adicional, como uma senha enviada ao seu dispositivo móvel ou talvez alguma forma de dados biométricos, como uma leitura de impressão digital.
Aplicar acesso com “privilégio mínimo”
Os usuários só devem ter acesso aos sistemas e dados de que precisam para desempenhar suas funções, o que limitará a quantidade de danos que um invasor pode causar caso obtenha acesso não autorizado à sua rede. Você precisará estabelecer um processo formalizado para conceder/revogar acesso a dados confidenciais, como e quando necessário.
Monitore contas privilegiadas
Você deve monitorar o acesso a contas privilegiadas e ficar de olho em todas as ações realizadas por usuários privilegiados. Quaisquer dados urgentes sejam acessados, compartilhados, movidos, modificados ou excluídos, você precisa saber sobre isso. Você deve garantir que mantém um registro imutável de todos os eventos, que pode ser facilmente pesquisado e classificado. Use uma solução sofisticada de auditoria em tempo real que utiliza técnicas de aprendizado de máquina para identificar comportamentos anômalos. Por exemplo, você precisa saber quando um usuário acessa um arquivo contendo dados confidenciais pela primeira vez, copia arquivos para uma unidade USB ou acessa sua conta fora do horário comercial. Sua solução deve ser capaz de detectar e responder a eventos que correspondam a uma condição de limite predefinida, o que pode ajudar a identificar diversas tentativas de logon com falha, criptografia de arquivos em massa e outros eventos semelhantes. Em alguns casos, os invasores tentam obter acesso a contas de usuários inativas, pois isso lhes dá uma chance melhor de examinar sua rede sem levantar muitas suspeitas. Como tal, você precisará de uma solução capaz de detectar e gerenciar automaticamente contas de usuários inativos.
Certifique-se de que todos os sistemas tenham os patches mais recentes instalados
Os invasores estão sempre em busca de vulnerabilidades de segurança para explorar, mesmo antes de obterem acesso à sua rede. Considere usar uma solução automatizada de gerenciamento de patches para garantir que todos os patches e atualizações sejam instalados em todos os endpoints assim que estiverem disponíveis.
Se você quiser ver como a plataforma de segurança de dados Lepide pode ajudá-lo a detectar e prevenir movimentos laterais e escalonamento de privilégios, agende uma demonstração com um de nossos engenheiros ou inicie seu teste gratuito hoje mesmo.