Skip to content
Aiqon Blog
Movimentação Lateral
Cyber Security

Entendendo o movimento lateral e escalonamento de privilégio

Publicado

Movimento Lateral – As técnicas de uso dos atacantes e as práticas recomendadas para defender sua organização

Nesse Artigo

Introdução

Um invasor que entra na sua rede raramente se contenta com a sua posição inicial. Para atingir seus principais objetivos, seja roubar informações sensíveis ou plantar malware, eles precisam se aproveitar das contas que foram comprometidas para se mover lateralmente pelo ambiente e escalar seus privilégios até que eles tenham acessos a mais dados e recursos.

Em outras palavras, a conta ou sistema que o invasor compromete é o ponto inicial de espalhamento. O ciclo de vida de um ataque pode ser semanas, meses ou até anos com o invasor se movendo pelo ambiente e estabelecendo a sua presença. Para defender a sua organização, é importante entender as técnicas envolvidas.

Netwrix Auditor - Monitoramento de usuarios

O que é movimento lateral e escalonamento de privilégios?

Movimento lateral é quando um atacante se aproveita dos direitos de acesso atual para navegar pelo ambiente. Escalonamento de privilégio é conseguir mais permissões de acesso. Os invasores combinam essas duas táticas para atingir seus objetivos de roubar os dados ou causar danos à organização.

Quais técnicas em específicoos invasores usam?

Aqui estão três das técnicas mais comuns que os invasores usam para se mover lateralmente e escalonar privilégios:

  • LDAP reconnaissance – Descobrir potenciais alvos em um ambiente é uma tarefa muito importante para um invasor. Uma vez que eles tenham acesso ao ambiente, eles precisam entender o que tem lá que eles possam ter interesse em alvejar. O LDAP reconnaissance é uma forma do invasor usar o AD para descobrir usuários, grupos e computadores no ambiente. Após entender e conduzir mais o reconhecimento do ambiente, o invasor pode traçar um plano para atingir seus objetivos
  • Pass-the-hash – Uma vez que o invasor tenha acesso ao sistema e seja capaz de se mover lateralmente entre sistemas, ele irá querer comprometer outras contas que expandem seus direitos no ambiente. Uma das formas que o invasor pode comprometer outras contas é pelo pass-the-hash. Essa técnica requer um certo nível de privilégios na estação que ele tenha acesso, mas usando o pass-the-hash, eles podem comprometer uma conta que tenha uma sessão na máquina que eles adquiriram. Com a nova conta comprometida, eles podem continuar a identificar outras máquinas que eles tenham acesso e outras sessões que possam existir nela para que eles se aproveitem e tenham acesso a ainda mais contas.
  • Kerberoasting – Outra técnica que os invasores usam para escalar seus privilégios é o kerberoasting. O Kerberoasting abusa da autenticação do Kerberos para roubar credenciais dos usuários do AD que tem nomes que levam a crer que são de serviços. Na maioria das vezes, de fato são contas de serviços, então elas têm níveis de privilégios maiores do que contas de usuários normais.
Leia também:  Ataques de Ransomware na Área de Saúde

Exemplo no mundo real

Uma das mais notáveis brechas na história recente é o vazamento de dados da Marriot de 2018. Apesar dos detalhes completos nunca terem sido revelados, o Mimikatz foi encontrado nos seus sistemas. O Mimikatz é uma ferramenta popular para coletar credenciais usando o ataque pass-the-hash, então pode-se assumir que uma vez que o invasor tenha conseguido acesso o ambiente, ele aproveitou o Mimikatz para continuar o ataque e se mover lateralmente e escalar seus privilégios com credenciais que eles conseguiram coletar com a ferramenta.

Este é só um dos exemplos de um invasor se movendo lateralmente e escalando seus privilégios para atingir seus objetivos, você pode facilmente encontrar muitos outros exemplos.

Como as organizações podem se defender?

Como você pode combater essas táticas que os invasores usam para comprometer o seu ambiente? Abaixo estão três das melhores estratégias para se implementar:

Bloqueie ataques de engenharia social 

Mais frequente do que se aparenta, os invasores conseguem acesso ao ambiente de TI através de algum tipo de engenharia social, na qual eles manipulam um usuário legítimo a dar suas credenciais. Para reduzir o risco de ataques, treine seus colaboradores sobre como detectar e relatar ataques de engenharia social. Além disso, invista em ferramentas que fazem filtros de spam para impedir que as mensagens de phishing cheguem aos seus usuários.

Conteúdo relaciondo: Gmail Seguro: 5 passos para proteção da sua conta

Proteja as suas senhas

Os invasores muitas vezes entram no seu ambiente e escalam suas permissões através de senhas fracas ou credenciais que eles roubaram utilizando técnicas como ataques de password spraying. Treinar os usuários sobre as práticas de uma senha forte é a melhor forma de garantir que as suas senhas se mantenham seguras além de reforçar suas políticas. Além disso, procure ferramentas que possam forçar uma política de senhas mais segura que a nativa do AD, identifique senhas fracas ou comprometidas e permita que você implemente controles como o multi-factor authentication (MFA).

Leia também:  Gerenciamento de Acesso Privilegiado (PAM) - Melhores Práticas

StealthAudit senha fraca

Preste atenção nas suas contas privilegiadas

Uma das principais formas que o invasor alcança seus objetivos é comprometendo uma conta de administrador ou de serviço, que dá a eles muito mais acesso no ambiente que contas de usuário. Implementar um bom gerenciamento de acesso privilegiado (PAM) é essencial para proteger essas contas de serem comprometidas e monitorar a utilização delas. Ferramentas de PAM atuais vem em todas as formas e tamanhos, mas tenha em mente que você não deve escolher uma que apenas faça uma proteção básica das contas privilegiadas. Um dos métodos mais modernos é eliminar as contas privilegiadas por completo e ao invés disso garantir permissões elevadas apenas enquanto elas precisarem para completar uma tarefa em particular, isso reduz significativamente o risco ao reduzir sua área vulnerável a ataques.

Conteúdo relacionado: Conheça o SbPAM – Gerenciamento de permissões temporárias

Mantenha seus sistemas atualizados

Por fim, é essencial aplicar updates e patches assim que eles se tornam disponíveis. Manter todos os seus dispositivos e aplicações atualizadas é crucial para garantir que o invasor não seja capaz de explorar uma vulnerabilidade conhecida para ganhar terreno no seu ambiente, se mover lateralmente ou escalar seus privilégios

 

patch management

 

Texto original: Stealthbits

Artigos recomendados

Comente o que achou do artigo