حرکت جانبی یا Lateral Movement به تکنیک‌هایی گفته می‌شود که پس از دسترسی اولیه، توسط عامل حمله سایبری، برای جستجوی داده‌های حیاتی و سایر دارایی‌های ارزشمند و نفوذ عمیق‌تر به یک شبکه مورد استفاده قرار می‌گیرند. بعد از ورود، مهاجم دسترسی مداوم به شبکه را با حرکت درون محیط به مخاطره افتاده[۱] و به دست آوردن امتیازات[۲] مضاعف با استفاده از ابزار‌های مختلف حفظ می‌کند.‌‌

حرکت جانبی یک تاکتیک کلیدی است که تهدید‌های پیشرفته و مستمر^[۳] یا APTها را از حملات سایبری ساده‌انگارانه گذشته متمایز می‌کند.

Lateral Movement به عامل تهدید این امکان را می‌دهد که حتی در صورت شناسایی شدن در ماشینی که در ابتدا مورد حمله قرار گرفته بود، نیز از شناسایی شدن مصون مانده و دسترسی آن حفظ شود. همچنین، با عدم انجام فعالیت برای مدت زمانی طولانی، سرقت داده‌ها می‌تواند هفته‌ها و حتی ماه‌ها پس از رخنه اولیه صورت گیرد.

پس از دسترسی اولیه به یک Endpoint، به عنوان مثال از طریق حمله فیشینگ[۴] یا آلوده‌سازی توسط بدافزار، مهاجم خود را به‌جای یک کاربر قانونی جا زده و بین سیستم‌های مختلف در شبکه حرکت می‌کند تا به هدف نهایی دست یابد. دستیابی به هدف شامل جمع‌آوری اطلاعات درباره‌ی سیستم‌ها و حساب‌های کاربری مختلف، به دست آوردن Credentialها، ارتقا امتیازات و در نهایت دستیابی به Payload شناسایی شده است.

مراحل متداول در تاکتیک حرکت جانبی یا Lateral Movement

حرکت جانبی از سه مرحله اصلی تشکیل شده است: شناسایی، جمع‌آوری Credentialها و امتیازها، و دسترسی یافتن به سایر کامپیوتر‌های شبکه.

شناسایی

در مرحله شناسایی، مهاجم به مشاهده، بررسی و ترسیم شبکه، کاربران و دستگاه‌های آنها می‌پردازد. این ترسیم به نفوذگر اجازه می‌دهد تا قرارداد‌های نام‌گذاری Hostها و روابط سلسله‌مراتبی شبکه را متوجه شده، Payloadهای احتمالی را مشخص کرده و اطلاعات موردنیاز برای انجام اقدامات آگاهانه را به دست آورد.

عاملان تهدید ابزار‌های گسترده‌ای را برای دانستن محلی از شبکه که در آن قرار گرفته‌اند، چیز‌هایی که می‌توانند به آن‌ها دسترسی داشته باشند و اطلاع از Firewallها و دیگر موانع موجود به کار می‌گیرند. علی‌رغم اینکه مهاجم می‌تواند از ابزار‌های شخصی خارجی و یا ابزار‌های Open-source فراوانی برای اسکن پورت‌ها، اتصالات پروکسی و دیگر تکنیک‌ها استفاده کند، به‌کارگیری ابزارهای Built-in ویندوز دارای این مزیت برای مهاجمین است که شناسایی آن‌ها را دشوار می‌کند.

در ادامه برخی از ابزار‌های درونی و ذاتی ویندوز که می‌توانند در مرحله شناسایی مورد استفاده قرار گیرند، معرفی می‌شوند:

• Netstat اتصالات شبکه ماشین را نشان داده و می‌توان از آن برای شناسایی دارایی‌های حیاتی و کسب اطلاعات درباره شبکه استفاده کرد.
• IP Config/IF Config دسترسی به اطلاعات موقعیت و پیکر‌بندی شبکه را تامین می‌کند.
• ARP cache اطلاعاتی را درباره‌ی آدرس IP به آدرس فیزیکی ارائه می‌کند. از این اطلاعات می‌توان برای هدف قرار دادن ماشین‌های درون شبکه استفاده کرد.
• جدول Local Routing مسیر‌های ارتباطی فعلی برای Host متصل شده را نمایش می‌دهد.
• Power Shell که یک ابزار خط فرمان و اسکریپت‌نویسی قدرتمند است، امکان شناسایی سریع سیستم‌هایی از شبکه که کاربر فعلی به آن دسترسی ادمین Local دارد را فراهم می‌کند.

پس از شناسایی نواحی حیاتی توسط مهاجم مهم، زمان جمع‌آوری Login Credentialها جهت ورود به سیستم است.

Credential Dumping و ارتقای سطح دسترسی

برای حرکت از طریق یک شبکه، مهاجم به Credentialهای معتبر ورود به سیستم نیاز دارد. Credential Dumping اصطلاحی است که از آن برای توصیف فرایند به دست آوردن غیر‌قانونی Credentialها استفاده می‌شود. یک راه برای به دست آوردن این Credentialها فریب کاربران از طریق تاکتیک‌های مهندسی اجتماعی مانند Typosquatting و حملات فیشینگ است. از دیگر تکنیک‌های رایج دیگر برای سرقت Credentialها می‌توان به موارد زیر اشاره کرد:

• Pass the Hash که روشی است برای احراز هویت بدون دسترسی به گذرواژه کاربر. این تکنیک مراحل استاندارد احراز هویت را دور زده و با به دست آوردن Hash گذرواژه‌های معتبر، که یک بار احراز هویت شده‌اند، به مهاجم اجازه انجام اقداماتی روی سیستم‌های محلی و راه دور را می‌دهد.
• Pass the Ticket که روشی برای احراز هویت با استفاده از تیکت‌های پروتکل Kerberos است. از طریق این تکنیک، نفوذگر با به مخاطره انداختن یک دامین کنترلر قادر است یک تیکت ویژه Kerberos با اعتبار نامتناهیرا بصورت آفلاین تولید کند که قابل استفاده برای جعل هویت هر حساب کاربری، حتی پس از بازنشانی گذرواژه آن حساب باشد.
• از ابزارهایی مانند Mimikatz برای سرقت گذرواژه‌های خام یا Credentialهای احراز هویت ذخیره شده[۵] از حافظه یک ماشین به مخاطره افتاده استفاده می‌شود. اطلاعات مسروقه در ادامه می‌توانند به منظور احراز هویت در سایر ماشین‌ها مورد استفاده قرار گیرند.
• ابزارهای Keylogging به مهاجمین این امکان را می‌دهند تا گذرواژه‌ها را به طور مستقیم در زمان وارد کردن آن‌ها از طریق صفحه کلید در اختیار گیرند.

حصول دسترسی

فرآیند انجام شناسایی داخلی و سپس دور زدن کنترل‌های امنیتی برای به مخاطره انداختن Hostها به صورت پی در پی تکرار می‌شود تا زمانی که داده‌های موردنظر پیدا و استخراج شود. نکته مهم این است که حملات سایبری پیچیده‌تر اغلب دربرگیرنده یک عنصر انسانی قوی هستند. این نکته به طور ویژه در مورد حرکت جانبی یا Lateral Movement که سازمان احتمالا با عمل و عکس‌العمل‌های یک متخاصم مواجه هستند، صادق است. با این حال، می‌توان رفتار انسانی را توسط یک راهکار امنیتی قدرتمند، شناسایی و متوقف نمود.

شناسایی و جلوگیری از حرکت جانبی

شناسایی حرکت جانبی مخرب[۶]، پس از دستیابی یک مهاجم به امتیازات مدیریتی و دسترسی عمیق به یک شبکه، می‌تواند بسیار دشوار باشد، چرا که حرکات جانبی می‌توانند به عنوان ترافیک نرمال شبکه در نظر گرفته شوند. علاوه‌براین، یک عامل حمله انسانی این توانایی را دارد تا برنامه‌ها را تغییر داده و با توجه به اطلاعات جمع‌آوری شده، تکنیک‌ها و ابزار‌های مختلفی را به‌کار گیرد. به‌علاوه در صورت به‌کارگیری ابزار‌های درونی و ذاتی سیستم توسط متخاصم، شناسایی او دشوارتر نیز خواهد شد. با توجه به این توضیحات، برای جلوگیری از آسیب‌های پرهزینه، ضروری است تا این‌گونه نفوذگران در سریع‌ترین زمان ممکن یافته و حذف شوند.

زمان Breakout و قانون ۶۰-۱۰-۱

زمان Breakout عبارت است از زمان موردنیاز یک نفوذگر برای آغاز حرکت جانبی در دیگر سیستم‌های شبکه پس از به‌مخاطره انداختن اولیه یک ماشین. بررسی‌ها نشان می‌دهد که در سال گذشته، میانگین زمان Breakout حدود ۱ ساعت و ۵۸ دقیقه بوده است. این بدین معنیست که یک سازمان حدودا ۲ ساعت فرصت دارد تا تهدید را شناسایی، بررسی، رفع یا مهار کند. در صورتی که این فرایند بیش از این طول بکشد، خطر سرقت یا نابودی داده‌ها و دارایی‌های حیاتی توسط متخاصم وجود خواهد داشت.

سرعت برگ برنده جهت پیروزی در یک نبرد در فضای سایبری است. سریع‌تر بودن – از طریق شناسایی، بررسی و جلوگیری از نفوذ طی زمان Breakout – تنها راه غلبه بر یک متخاصم است.

قانون ۶۰-۱۰-۱ شامل تشخیص نفوذ طی ۱ دقیقه، بررسی و انجام تحقیقات طی ۱۰ دقیقه، و قرنطینه و رفع مساله طی ۶۰ دقیقه است. هر چه یک نفوذگر فرصت بیشتری برای انجام حرکت جانبی در زمان حضور[۷] در سیستم در اختیار داشته باشد احتمال ایکه حمله موفقیت‌آمیز باشد، افزایش می‌یابد.

مراحل جلوگیری از حرکت جانبی یا Lateral Movement

سه مرحله حیاتی برای افزایش قدرت دفاعی و همچنین کاهش و حذف زمان حضور نفوذگر و عواقب آن وجود دارد که می‌توان و باید در راستای آن‌ها اقدام نمود.

مرحله ۱: به‌روزرسانی راهکار امنیتی نقطه پایانی

بسیاری از حملات شناخته شده در اثر ماه‌ها زمان حضور اتفاق افتاده‌ و با حرکت جانبی تلاش کرده‌اند تا از امنیت استاندارد در امان بمانند. در اصل، مهاجمین امروزی بر حقیقت اتکای بسیاری از سازمان‌ها بر راهکار‌های امنیتی استاندارد یا سنتی – یعنی فناوری‌هایی که ابزار‌های هک نوین به آسانی می‌توانند آن‌ها را دور بزنند – حساب می‌کنند. برای مبارزه‌ با حملات پیچیده امروزی، لازم است تا فناوری مورد استفاده به فناوری‌های جامعی که شامل نسل بعدی آنتی‌ویروس‌ها بوده و همچنین دارای قابلیت تحلیل رفتاری باشند، ارتقا داده شود.

همچنین جهت اطمینان از در اختیار داشتن موثرترین رویکرد امنیتی ممکن- یعنی رویکردی که هم شامل فناوری‌های بازدارنده برای متوقف نمودن اقدامات نفوذی بوده و هم شامل راهک‌ار شخیص و پاسخ‌گویی Endpoint[۸] یا EDR برای شناسایی خودکار فعالیت‌های مشکوک باشد – باید به ارزیابی مجدد استراتژی امنیتی پرداخت. داشتن هر دوی این قابلیت‌ها در یک عامل واحد، اولین گام ضروری است.

مرحله ۲: شکار پیش‌نگرانه[۹] تهدید‌های پیشرفته

سازمان‌های زیادی نه به دلیل عدم وجود هشدارها، که به دلیل بیش از حد بودن هشدارهای نیازمند بررسی، قربانی نقض امنیت[۱۰] می‌شوند. هشدارهای بیش از حد و False positiveها می‌توانند منجر به خستگی در فرایند بررسی هشدارها شوند. در صورتی  که راهکارهای امنیتی موجود منجر به تعداد زیاد و بیش از حد False positiveها شوند، یا هشدار‌های دریافتی فاقد اطلاعات زمینه‌ای بوده و امکان اولویت‌بندی آن‌ها وجود نداشته باشد، از دست دادن هشدارهای حیاتی اجتناب‌ناپذیر بوده و بالاخره اتفاق خواهد افتاد. برای حل این مشکل، بسیار مهم است تا از متخصصین واقعی درخواست شود تا به صورت پیش‌نگرانه به بررسی وقایع در حال اتفاق در محیط بپردازند و در صورت تشخیص فعالیت‌های نامعمول، هشدارهایی با جزئیات کافی را در اختیار تیم امنیتی قرار دهند.

تجهیز تیم‌های داخلی با یک راه‌کار امنیتی که تخصص شکار تهدید عملی – که ضمن ارائه قابلیت اولویت‌بندی جهت اطمینان از رسیدگی فوری به حیاتی‌ترین هشدارها بتواند به صورت پیش‌نگر به نظارت بر تهدیدهای مخفی پرداخته و تعداد False positiveها را کاهش دهد – مساله‌ای است که باید در این زمینه در نظر داشت.

مرحله ۳: حفظ مناسب ایمنی IT

باید آسیب‌پذیری‌هایی مانند سیستم‌ها و نرم‌افزار‌هایی که از رده خارج شده یا وصله[۱۱]‌های لازم بر روی آن‌ها نصب نشده و ممکن است به صورت مخفیانه در محیط شبکه در حال فعالیت باشند را حذف نمود. اکسپلویت[۱۲]‌ها می‌توانند قبل از فعال شدن برای مدت زمانی طولانی مخفی باقی بمانند، و در صورتی که سازمان‌ها نتوانند به‌روزرسانی‌ها و وصله‌‌ها را در تمام نقاط پایانی خود اعمال کنند، در معرض خطر قرار خواهند گرفت.

در نهایت، بهترین راهکار دفاعی، استفاده از موثر‌ترین فناوری‌های موجود توسط سازمان و گنجاندن قانون ۶۰-۱۰-۱ در استراتژی امنیت سایبری است.

منبع:

https://www.crowdstrike.com/cybersecurity-101/lateral-movement

[۱] Compromised

[۲] Privilege

[۳] Advanced persistent threats

[۴] Phishing

[۵] Cached

[۶] Malicious

[۷] Dwell time

[۸] Endpoint detection and response

[۹] Proactively hunt

[۱۰] Security breach

[۱۱] Patch

[۱۲] Exploit