حرکت جانبی یا Lateral Movement به تکنیکهایی گفته میشود که پس از دسترسی اولیه، توسط عامل حمله سایبری، برای جستجوی دادههای حیاتی و سایر داراییهای ارزشمند و نفوذ عمیقتر به یک شبکه مورد استفاده قرار میگیرند. بعد از ورود، مهاجم دسترسی مداوم به شبکه را با حرکت درون محیط به مخاطره افتاده[۱] و به دست آوردن امتیازات[۲] مضاعف با استفاده از ابزارهای مختلف حفظ میکند.
حرکت جانبی یک تاکتیک کلیدی است که تهدیدهای پیشرفته و مستمر[۳] یا APTها را از حملات سایبری سادهانگارانه گذشته متمایز میکند.
Lateral Movement به عامل تهدید این امکان را میدهد که حتی در صورت شناسایی شدن در ماشینی که در ابتدا مورد حمله قرار گرفته بود، نیز از شناسایی شدن مصون مانده و دسترسی آن حفظ شود. همچنین، با عدم انجام فعالیت برای مدت زمانی طولانی، سرقت دادهها میتواند هفتهها و حتی ماهها پس از رخنه اولیه صورت گیرد.
پس از دسترسی اولیه به یک Endpoint، به عنوان مثال از طریق حمله فیشینگ[۴] یا آلودهسازی توسط بدافزار، مهاجم خود را بهجای یک کاربر قانونی جا زده و بین سیستمهای مختلف در شبکه حرکت میکند تا به هدف نهایی دست یابد. دستیابی به هدف شامل جمعآوری اطلاعات دربارهی سیستمها و حسابهای کاربری مختلف، به دست آوردن Credentialها، ارتقا امتیازات و در نهایت دستیابی به Payload شناسایی شده است.
مراحل متداول در تاکتیک حرکت جانبی یا Lateral Movement
حرکت جانبی از سه مرحله اصلی تشکیل شده است: شناسایی، جمعآوری Credentialها و امتیازها، و دسترسی یافتن به سایر کامپیوترهای شبکه.
شناسایی
در مرحله شناسایی، مهاجم به مشاهده، بررسی و ترسیم شبکه، کاربران و دستگاههای آنها میپردازد. این ترسیم به نفوذگر اجازه میدهد تا قراردادهای نامگذاری Hostها و روابط سلسلهمراتبی شبکه را متوجه شده، Payloadهای احتمالی را مشخص کرده و اطلاعات موردنیاز برای انجام اقدامات آگاهانه را به دست آورد.
عاملان تهدید ابزارهای گستردهای را برای دانستن محلی از شبکه که در آن قرار گرفتهاند، چیزهایی که میتوانند به آنها دسترسی داشته باشند و اطلاع از Firewallها و دیگر موانع موجود به کار میگیرند. علیرغم اینکه مهاجم میتواند از ابزارهای شخصی خارجی و یا ابزارهای Open-source فراوانی برای اسکن پورتها، اتصالات پروکسی و دیگر تکنیکها استفاده کند، بهکارگیری ابزارهای Built-in ویندوز دارای این مزیت برای مهاجمین است که شناسایی آنها را دشوار میکند.
در ادامه برخی از ابزارهای درونی و ذاتی ویندوز که میتوانند در مرحله شناسایی مورد استفاده قرار گیرند، معرفی میشوند:
- Netstat اتصالات شبکه ماشین را نشان داده و میتوان از آن برای شناسایی داراییهای حیاتی و کسب اطلاعات درباره شبکه استفاده کرد.
- IP Config/IF Config دسترسی به اطلاعات موقعیت و پیکربندی شبکه را تامین میکند.
- ARP cache اطلاعاتی را دربارهی آدرس IP به آدرس فیزیکی ارائه میکند. از این اطلاعات میتوان برای هدف قرار دادن ماشینهای درون شبکه استفاده کرد.
- جدول Local Routing مسیرهای ارتباطی فعلی برای Host متصل شده را نمایش میدهد.
- Power Shell که یک ابزار خط فرمان و اسکریپتنویسی قدرتمند است، امکان شناسایی سریع سیستمهایی از شبکه که کاربر فعلی به آن دسترسی ادمین Local دارد را فراهم میکند.
پس از شناسایی نواحی حیاتی توسط مهاجم مهم، زمان جمعآوری Login Credentialها جهت ورود به سیستم است.
Credential Dumping و ارتقای سطح دسترسی
برای حرکت از طریق یک شبکه، مهاجم به Credentialهای معتبر ورود به سیستم نیاز دارد. Credential Dumping اصطلاحی است که از آن برای توصیف فرایند به دست آوردن غیرقانونی Credentialها استفاده میشود. یک راه برای به دست آوردن این Credentialها فریب کاربران از طریق تاکتیکهای مهندسی اجتماعی مانند Typosquatting و حملات فیشینگ است. از دیگر تکنیکهای رایج دیگر برای سرقت Credentialها میتوان به موارد زیر اشاره کرد:
- Pass the Hash که روشی است برای احراز هویت بدون دسترسی به گذرواژه کاربر. این تکنیک مراحل استاندارد احراز هویت را دور زده و با به دست آوردن Hash گذرواژههای معتبر، که یک بار احراز هویت شدهاند، به مهاجم اجازه انجام اقداماتی روی سیستمهای محلی و راه دور را میدهد.
- Pass the Ticket که روشی برای احراز هویت با استفاده از تیکتهای پروتکل Kerberos است. از طریق این تکنیک، نفوذگر با به مخاطره انداختن یک دامین کنترلر قادر است یک تیکت ویژه Kerberos با اعتبار نامتناهیرا بصورت آفلاین تولید کند که قابل استفاده برای جعل هویت هر حساب کاربری، حتی پس از بازنشانی گذرواژه آن حساب باشد.
- از ابزارهایی مانند Mimikatz برای سرقت گذرواژههای خام یا Credentialهای احراز هویت ذخیره شده[۵] از حافظه یک ماشین به مخاطره افتاده استفاده میشود. اطلاعات مسروقه در ادامه میتوانند به منظور احراز هویت در سایر ماشینها مورد استفاده قرار گیرند.
- ابزارهای Keylogging به مهاجمین این امکان را میدهند تا گذرواژهها را به طور مستقیم در زمان وارد کردن آنها از طریق صفحه کلید در اختیار گیرند.
حصول دسترسی
فرآیند انجام شناسایی داخلی و سپس دور زدن کنترلهای امنیتی برای به مخاطره انداختن Hostها به صورت پی در پی تکرار میشود تا زمانی که دادههای موردنظر پیدا و استخراج شود. نکته مهم این است که حملات سایبری پیچیدهتر اغلب دربرگیرنده یک عنصر انسانی قوی هستند. این نکته به طور ویژه در مورد حرکت جانبی یا Lateral Movement که سازمان احتمالا با عمل و عکسالعملهای یک متخاصم مواجه هستند، صادق است. با این حال، میتوان رفتار انسانی را توسط یک راهکار امنیتی قدرتمند، شناسایی و متوقف نمود.
شناسایی و جلوگیری از حرکت جانبی
شناسایی حرکت جانبی مخرب[۶]، پس از دستیابی یک مهاجم به امتیازات مدیریتی و دسترسی عمیق به یک شبکه، میتواند بسیار دشوار باشد، چرا که حرکات جانبی میتوانند به عنوان ترافیک نرمال شبکه در نظر گرفته شوند. علاوهبراین، یک عامل حمله انسانی این توانایی را دارد تا برنامهها را تغییر داده و با توجه به اطلاعات جمعآوری شده، تکنیکها و ابزارهای مختلفی را بهکار گیرد. بهعلاوه در صورت بهکارگیری ابزارهای درونی و ذاتی سیستم توسط متخاصم، شناسایی او دشوارتر نیز خواهد شد. با توجه به این توضیحات، برای جلوگیری از آسیبهای پرهزینه، ضروری است تا اینگونه نفوذگران در سریعترین زمان ممکن یافته و حذف شوند.
زمان Breakout و قانون ۶۰-۱۰-۱
زمان Breakout عبارت است از زمان موردنیاز یک نفوذگر برای آغاز حرکت جانبی در دیگر سیستمهای شبکه پس از بهمخاطره انداختن اولیه یک ماشین. بررسیها نشان میدهد که در سال گذشته، میانگین زمان Breakout حدود ۱ ساعت و ۵۸ دقیقه بوده است. این بدین معنیست که یک سازمان حدودا ۲ ساعت فرصت دارد تا تهدید را شناسایی، بررسی، رفع یا مهار کند. در صورتی که این فرایند بیش از این طول بکشد، خطر سرقت یا نابودی دادهها و داراییهای حیاتی توسط متخاصم وجود خواهد داشت.
سرعت برگ برنده جهت پیروزی در یک نبرد در فضای سایبری است. سریعتر بودن – از طریق شناسایی، بررسی و جلوگیری از نفوذ طی زمان Breakout – تنها راه غلبه بر یک متخاصم است.
قانون ۶۰-۱۰-۱ شامل تشخیص نفوذ طی ۱ دقیقه، بررسی و انجام تحقیقات طی ۱۰ دقیقه، و قرنطینه و رفع مساله طی ۶۰ دقیقه است. هر چه یک نفوذگر فرصت بیشتری برای انجام حرکت جانبی در زمان حضور[۷] در سیستم در اختیار داشته باشد احتمال ایکه حمله موفقیتآمیز باشد، افزایش مییابد.
مراحل جلوگیری از حرکت جانبی یا Lateral Movement
سه مرحله حیاتی برای افزایش قدرت دفاعی و همچنین کاهش و حذف زمان حضور نفوذگر و عواقب آن وجود دارد که میتوان و باید در راستای آنها اقدام نمود.
مرحله ۱: بهروزرسانی راهکار امنیتی نقطه پایانی
بسیاری از حملات شناخته شده در اثر ماهها زمان حضور اتفاق افتاده و با حرکت جانبی تلاش کردهاند تا از امنیت استاندارد در امان بمانند. در اصل، مهاجمین امروزی بر حقیقت اتکای بسیاری از سازمانها بر راهکارهای امنیتی استاندارد یا سنتی – یعنی فناوریهایی که ابزارهای هک نوین به آسانی میتوانند آنها را دور بزنند – حساب میکنند. برای مبارزه با حملات پیچیده امروزی، لازم است تا فناوری مورد استفاده به فناوریهای جامعی که شامل نسل بعدی آنتیویروسها بوده و همچنین دارای قابلیت تحلیل رفتاری باشند، ارتقا داده شود.
همچنین جهت اطمینان از در اختیار داشتن موثرترین رویکرد امنیتی ممکن- یعنی رویکردی که هم شامل فناوریهای بازدارنده برای متوقف نمودن اقدامات نفوذی بوده و هم شامل راهکار شخیص و پاسخگویی Endpoint[۸] یا EDR برای شناسایی خودکار فعالیتهای مشکوک باشد – باید به ارزیابی مجدد استراتژی امنیتی پرداخت. داشتن هر دوی این قابلیتها در یک عامل واحد، اولین گام ضروری است.
مرحله ۲: شکار پیشنگرانه[۹] تهدیدهای پیشرفته
سازمانهای زیادی نه به دلیل عدم وجود هشدارها، که به دلیل بیش از حد بودن هشدارهای نیازمند بررسی، قربانی نقض امنیت[۱۰] میشوند. هشدارهای بیش از حد و False positiveها میتوانند منجر به خستگی در فرایند بررسی هشدارها شوند. در صورتی که راهکارهای امنیتی موجود منجر به تعداد زیاد و بیش از حد False positiveها شوند، یا هشدارهای دریافتی فاقد اطلاعات زمینهای بوده و امکان اولویتبندی آنها وجود نداشته باشد، از دست دادن هشدارهای حیاتی اجتنابناپذیر بوده و بالاخره اتفاق خواهد افتاد. برای حل این مشکل، بسیار مهم است تا از متخصصین واقعی درخواست شود تا به صورت پیشنگرانه به بررسی وقایع در حال اتفاق در محیط بپردازند و در صورت تشخیص فعالیتهای نامعمول، هشدارهایی با جزئیات کافی را در اختیار تیم امنیتی قرار دهند.
تجهیز تیمهای داخلی با یک راهکار امنیتی که تخصص شکار تهدید عملی – که ضمن ارائه قابلیت اولویتبندی جهت اطمینان از رسیدگی فوری به حیاتیترین هشدارها بتواند به صورت پیشنگر به نظارت بر تهدیدهای مخفی پرداخته و تعداد False positiveها را کاهش دهد – مسالهای است که باید در این زمینه در نظر داشت.
مرحله ۳: حفظ مناسب ایمنی IT
باید آسیبپذیریهایی مانند سیستمها و نرمافزارهایی که از رده خارج شده یا وصله[۱۱]های لازم بر روی آنها نصب نشده و ممکن است به صورت مخفیانه در محیط شبکه در حال فعالیت باشند را حذف نمود. اکسپلویت[۱۲]ها میتوانند قبل از فعال شدن برای مدت زمانی طولانی مخفی باقی بمانند، و در صورتی که سازمانها نتوانند بهروزرسانیها و وصلهها را در تمام نقاط پایانی خود اعمال کنند، در معرض خطر قرار خواهند گرفت.
در نهایت، بهترین راهکار دفاعی، استفاده از موثرترین فناوریهای موجود توسط سازمان و گنجاندن قانون ۶۰-۱۰-۱ در استراتژی امنیت سایبری است.
منبع:
https://www.crowdstrike.com/cybersecurity-101/lateral-movement
[۱] Compromised
[۲] Privilege
[۳] Advanced persistent threats
[۴] Phishing
[۵] Cached
[۶] Malicious
[۷] Dwell time
[۸] Endpoint detection and response
[۹] Proactively hunt
[۱۰] Security breach
[۱۱] Patch
[۱۲] Exploit