Z angielskiego lateral movement można przetłumaczyć jako „ruch boczny”, który w kontekście sieci ma konkretne znaczenie. Odnosi się bowiem do specyficznych technik, stosowanych przez cyberprzestępców. Zazwyczaj chodzi o stopniowe poruszanie się po sieci, wyszukując kluczowe dane i zasoby, które docelowo będą stanowiły przedmiot ataku. Pod wieloma względami wykorzystanie bocznego ruchu stanowi największą różnicę między dzisiejszymi ukierunkowanymi atakami a uproszczonymi podejściami z przeszłości. Jest to szczególnie widoczne na polu ataków celujących w sieci przemysłowe, które określa się jako APT czyli zaawansowane, trwałe zagrożenie (Advanced Persistent Threat).

industral_landscape
Od czasu głośnego ataku Stuxnet z 2010 roku, różne gałęzie przemysłu są na celowniku cyberprzestępców.

Temat APT w przemyśle poruszaliśmy tutaj a ostatnio omówiliśmy konieczność dopasowania systemów i narzędzi do wymogów i skali naszej infrastruktury. Dziś pochylimy się nad tematem ataków bocznych, znaczenia ich wykrywalności w kontekście strategii cyberprzestępców. Ważne jest bowiem, aby zespoły bezpieczeństwa były w stanie szybko zareagować, powstrzymując zagrożenie przed zwiększaniem zasięgu w organizacji. Szczególnie pod kątem dotknięcia infrastruktury krytycznej. W jaki sposób ruch boczny pozwala cyberprzestępcom na dokonywanie włamań? Które zasoby stanowią furtkę dla atakujących? I jakie zastosowanie mają ataki boczne w przejęciu kontroli nad siecią przemysłową?

Co oznacza korzystanie z ruchu bocznego?

W praktyce zanim cyberprzestępcy zaczną korzystać z ruchu bocznego, dokonują jakiejś wstępnej infekcji. Przykładowo poprzez zaatakowanie pojedynczej stacji roboczej, która nie musi mieć oczywistego powiązania z docelowym punktem, do którego dążą. Po wstępnym jej skompromitowaniu,  hakerzy próbują jak najlepiej zorientować się w obrębie sieci. Oznacza to skupianie wysiłków na rozpoznaniu wewnętrznym, zbieraniu danych uwierzytelniających, ewentualnie – dalszemu atakowaniu wewnętrznych systemów. Często na tym etapie używa się wbudowanych narzędzi jak np. PowerShell ponieważ ich aktywność nie jest częścią procesu przeglądania dziennika bezpieczeństwa. W ten sposób cyberprzestępcy unikają wykrywania, co jak wiadomo jest kluczowym aspektem długoterminowych kampanii.

Kluczową rolę w procesie rozciągania zasięgu po sieci ofiary jest zbieranie danych uwierzytelniających. Zaczyna się od pierwszego punktu infekcji a następnie przenosi coraz dalej. Mogą to być dane do logowania do różnych miejsc w sieci dla poszczególnych użytkowników ale i nie tylko. Atakujący zazwyczaj próbują wyodrębnić poświadczenia, zwłaszcza te uprzywilejowane, na wiele sposobów. Przykładowo poprzez wyszukiwanie plików, które przechowują dane uwierzytelniające, rejestrowanie kluczy, zrzuty pamięci itp. Na podstawie danych, które uda się pozyskać na jednym etapie, cyberprzestępcy przechodzą do kolejnych. Nierzadko te same hasła otwierają drzwi do miejsc w infrastrukturze docelowej.

Innym sposobem rozprzestrzeniania się w sieci jest wykorzystanie niezałatanych systemów. W takim przypadku sieć jest sprawdzana pod kątem podatności, które są następnie wykorzystywane. Mimo że wielokrotnie luki w oprogramowaniu umożliwiały cyberataki, w kontekście ruchu bocznego takie podejście jest mniej powszechne. Jednym z powodów jest ryzyko czasochłonnego przeszukiwania sieci – nawet jeśli ofiara nie posiada zaktualizowanego systemu za chwilę może się to zmienić. Wówczas furtka z jakiej korzystają atakujący zostałaby zamknięta. Może się również zdarzyć, że hakerzy nie dysponują określonym narzędziem w swoim arsenale, który miałoby zastosowanie w atakowanym środowisku. Mogą się wówczas pokusić o stworzenie takiego exploita 0-day – tylko, że ponownie będzie to czasochłonne.

Pozyskiwanie danych z przeglądarki Chrome, źródło: Azeria-labs.com

Mocne i słabe punkty ataków bocznych

Współczesne zespoły IT w organizacjach, zwłaszcza tych o większej skali, są zwykle zalewane przez najróżniejsze zdarzenia związane z bezpieczeństwem. Przy braku odpowiedniego zarządzania incydentami i alertami można spędzić cały dzień weryfikując naruszenia, anomalie lub zgłoszenia od użytkowników. Kwestia priorytetyzacji zadań i zarządzania tym, czym mają się zajmować poszczególne osoby to temat na osobny artykuł. W tym momencie istotne jest zwrócenie uwagi na symptomy związane z obecnością ruchu bocznego. To wyraźny wskaźnik zagrożenia, które próbuje rozszerzyć swój zasięg wewnątrz sieci na kluczowe zasoby i dane. Zdolność do jego szybkiego i niezawodnego wykrywania jest obecnie jedną z najważniejszych umiejętności w zakresie cyberbezpieczeństwa.

Kluczowy element strategii atakujących i… obrońców

W większości przypadków cyberprzestępcy muszą migrować między urządzeniami, pozyskując uprawnienia dostępu aby ostatecznie otrzymać wgląd w najcenniejsze informacje. Oprócz zagłębiania się w sieć, ruch boczny zapewnia im dodatkowe punkty kontroli w atakowanej sieci. Dzięki tym „rezerwowym” pozycjom mogą zachować stałą obecność, podczas gdy zostaną wykryci na jednej z zainfekowanych maszyn. Ponieważ ruch boczny daje tak strategiczne podejście, jest jednym z najbardziej wyraźnych rozróżnień między atakiem ukierunkowanym a „standardowym” zagrożeniem. W związku z tym, że stosowanie ruchu bocznego jest tak korzystne dla atakującego, można by wnioskować, że mechanizmy obronne pozostają bezradne. Okazuje się jednak, że technika ta ma swoje minusy.

Godnym uwagi jest to, że faza ruchu bocznego nie pozwala cyberprzestępcom na kontrolę obu końców połączenia. Gdyby korzystali , np. z eksfiltracji to wówczas mogliby pozwolić sobie elastyczność i sposoby na ukrycie swojego ruchu. Problem polega na tym, że ruch boczny stawia ich w bardziej tradycyjnej pozycji, mającej konkretny węzeł i cel. To jednostronne podejście zmusza atakujących do ujawnienia się i zapewnia pole do popisu dla zespołów wykrywających zagrożenia. Oczywiście wymaga to od nich wiedzy czego i gdzie należy szukać. Przyda się zatem gruntowna znajomość słabych punktów sieci i monitoring w ich obrębie.

Ponadto warto wiedzieć, że atakujący niejednokrotnie muszą obracać się między tymi samymi zainfekowanymi hostami, aby „odbijać się” głębiej w sieci. Ten proces jest często wyraźnym wskaźnikiem bocznego ruchu w sieci a przede wszystkim – jest możliwy do wykrycia. Część działań atakujących jest zaplanowana z wyprzedzeniem i zautomatyzowana. Należy jednak pamiętać, że gdy zagrożenia i cyberataki stają się bardziej zaawansowane, oznacza to, że prawie zawsze zawierają silny element ludzki. A to oznacza kolejne słabe punkty i to ponownie po stronie napastników.

Czynnik ludzki

W atakach strategicznych zwykle stroną kierującą jest kreatywny człowiek, który właściwie (i po cichu) porusza się po wewnętrznej sieci, aby znaleźć naprawdę cenne dane. Oznacza to, że atakujący potrzebują zdalnego sterowania w czasie rzeczywistym nad urządzeniami sieciowymi ofiary, aby ruch boczny był udany. Może to przybrać formę narzędzi zdalnego pulpitu lub bardziej wyspecjalizowanych narzędzi do zdalnej administracji. Przykładem może być aplikacja typu RAT (Remote Access Trojan), który zapewni precyzyjną kontrolę ataku. Jak działają takie programy można się dowiedzieć na przykładzie Monokle, o którym pisaliśmy tutaj.

human_factor
W cyberbezpieczeństwie człowiek jest najsłabszym ogniwem – nie zapominajmy, że dotyczy to nie tylko ofiar ale i napastników.

Zachowanie osoby zewnętrznej kontrolującej proces wewnętrzny jest czymś, co narzędzia do analizy ruchu sieciowego mogą szybko rozpoznać. Co więcej, zachowanie związane z jakimkolwiek wewnętrznym rozpoznaniem lub podejrzanym zachowaniem powinno natychmiastowo zostać oznaczone czerwoną flagą.

Ponadto w technice ruchu bocznego często unika się złośliwego oprogramowania na rzecz kradzieży poświadczeń. Oczywiste jest, że podszywanie się pod prawidłowego użytkownika daje atakującym cichszy i subtelniejszy sposób rozprzestrzeniania się w sieci niż bezpośrednie wykorzystywanie wielu komputerów. W związku z tym niezwykle ważne jest, aby specjaliści ds. bezpieczeństwa w organizacjach mieli świadomość znaczenia zachowań behawioralnych. Idealnym scenariuszem byłaby budowa wewnętrznej inteligencji sieci, która mogłaby rozpoznać sygnały ostrzegawcze w przypadku nadużycia lub nienormalnego użycia danych uwierzytelniających. W rzeczywistości gdzie nie jest to możliwe, pozostaje monitorować zachowania użytkowników tradycyjnymi metodami.

Zaawansowane, trwałe zagrożenie dla ICS

Pomimo licznych przykładów wskazujących na to jak można rozpoznać aktywność za pomocą ruchu boczego, ataki z jego użyciem wciąż cieszą się dużą skutecznością. Wykorzystanie ruchu bocznego stanowi element strategii APT czyli zaawansowanych, trwałych zagrożeń. Istota problemu związanego z trudnością opanowania takiego ataku opiera się na tym, że APT nie występują pojedynczo i jednorazowo. Podmioty zajmujące się tworzeniem cyberzagrożeń nieustannie szukają nowych celów, aby zwiększyć kontrolę nad docelową organizacją. Zmieniają także swoje plany i stosują różne techniki i narzędzia w zależności od zgromadzonych informacji. Stąd do wykrycia ruchu bocznego potrzeba zwykle zaawansowanych technik oraz dużej wiedzy zespołów zajmujących się problemem.

Joe Slowik, badacz Dragos zajmujący się problematyką bezpieczeństwa sieci przemysłowych wyróżnia dwa wyraźne wzorce ewolucji ataków ICS:

  • wektory początkowego ataku coraz częściej unikają stosowania złośliwego oprogramowania i technik będących oznakami hakerskiej aktywności,
  • dopiero na końcowych etapach, kiedy atakujący spenetrowali infrastrukturę ofiary w wystarczającym stopniu, wprowadza się złożone złośliwe oprogramowanie.

Działając w oparciu o dwa powyższe założenia, cyberprzestępcy najpierw monitorują całą sieć i dopiero w określonym momencie przystępują do ataku. Co więcej, trendy te ujawniają określony kierunek, w jaki będą zmierzać przyszłe ataki na sieci przemysłowe. Cyberprzestępcy będą działać małymi krokami z ukrycia, bez ujawniania faktycznych celów przy jednoczesnym wdrażaniu coraz bardziej zaawansowanych możliwości.

Joe Slowik w swojej publikacji zwraca uwagę na bardzo istotną kwestię. Zazwyczaj omawiając dany atak na infrastrukturę krytyczną – na przykład głośny Industroyer(CrashOverride) na Ukrainie – skupiamy się na tym, co się stało. Wyliczane są systemy, które zostały zainfekowane, analizowane są skutki ataku, generowane są raporty podsumowujące skalę strat i temu podobne działania. Relatywnie mało miejsca (i czasu) badacze poświęcają na DOKŁADNĄ analizę tego w jaki sposób doszło do ataku. Nie jest przecież łatwo dostać się od razu do kluczowych zasobów i przeprowadzić udany atak. Wciąż brakuje świadomości na temat konwergencji systemów IT & OT i strategii bezpieczeństwa obejmującej całość infrastruktury.

Ataki na sieci przemysłowe wzbudzają ogromne emocje, ale wciąż nie poświęca się im wystarczająco badań i analiz.

Podejście holistyczne lecz indywidualne

Wykorzystanie ruchu bocznego w atakach na sieci przemysłowe miało miejsce nie raz i zapewne wielokrotnie powtórzy się w przyszłości. Wielu odbiorców informacji o atakach na infrastrukturę krytyczną traktuje je jako wyjątkowe incydenty, nie powiązane z regularnym bezpieczeństwem IT. Tymczasem, cyberprzestępcy zdążyli już wystarczającą liczbę razy udowodnić, że nie potrzebują luk w zabezpieczeniu samych systemów ICS żeby się do nich dostać. Inną kwestią jest to, że często takie podatności występują. Abstrachując od zabezpieczeń samych systemów przemysłowych, wciąż niska jest świadomość powiązań między ich bezpieczeństwem a bezpieczeństwem informatycznym.

W dobie Industry 4.0, gdzie przenikalność maszyn i ludzi dociera do coraz większej grupy odbiorców, podejście oparte na oddzieleniu części przemysłowej może nie zdać egzaminu. Oznacza to, że tradycyjne sposoby izolacji infrastruktury krytycznej bądź produkcyjnej przestaną być możliwe do wdrożenia. To, co jednak nie zmieni swojego statusu to konieczność wyboru takich rozwiązań zabezpieczeń aby sprawdzały się w konkretnych warunkach. O potrzebie skalowalnego bezpieczeństwa dla systemów OT pisaliśmy w poprzedniej publikacji. Podsumowując – tak jak otaczamy się coraz bardziej złożonymi urządzeniami, tak sami musimy pogłębiać wiedzę w coraz bardziej specjalistycznych obszarach.

Świadomość istnienia techniki ruchu bocznego jako metody pracy cyberprzestępców jest jednym z takich obszarów. Pamiętajmy jednak, że w naturze atakujących leży nieprzewidywalność i trend ten nie ulegnie zmianie. Joe Slowik twierdzi, że jedynym prawdziwym sposobem na walkę z zagrożeniami 0-day i atakami bocznymi jest szczegółowy monitoring zdarzeń. Taka pasywna agregacja danych a następnie ich korelacja (ręczna bądź z wykorzystaniem dedykowanych narzędzi) pozwoli na uzyskanie informacji o potencjalnie złośliwych zachowaniach. Patrząc na bezpieczeństwo organizacji przemysłowych należy mieć więc na uwadze zarówno kompleksowy poziom zabezpieczeń jak i indywidualne podejście do najbardziej podatnych na ataki obszarów.

https://www.securityweek.com/lateral-movement-when-cyber-attacks-go-sideways

https://azeria-labs.com/lateral-movement

https://dragos.com/wp-content/uploads/Evolution-of-ICS-Attacks-and-the-Prospects-for-Future-Disruptive-Events-Joseph-Slowik-1.pdf

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *