Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Het digitale schaakspel met onze online tegenstanders, Deel 5: Lateral Movement

Gebaseerd op het MITRE ATT&CK framework en gepresenteerd in de volgorde van hoe je schaken leert. Van schaakmat terug naar openingszetten.

Door Daniel Meinsma

De koningin en de twee torens zijn in schaken belangrijke speelstukken en worden ook wel de 'major pieces' genoemd. Deze speelstukken kunnen zich zowel horizontaal als verticaal verplaatsen over het gehele schaakbord. Met enkel de koning en een 'minor piece', zoals de loper of het paard kan je tegenstander je niet schaakmat zetten. Met enkel de koning en de koningin of een toren kan je tegenstander dit wel.

De MITRE ATT&CK tactiek: Lateral Movement, beschrijft de veelgebruikte technieken die door onze digitale tegenstander worden gebruikt om, met verkregen rechten, zich horizontaal (lateraal) door een IT-netwerk te bewegen. De technieken die onze tegenstanders gebruiken om hun verkregen rechten te verhogen (Privilege Escalation) worden beschreven in de 9de blogpost uit deze reeks.

Voordat een computer gegijzeld kan worden met gijzelsoftware, zoals in blogpost 1, moet de gijzelsoftware eerst op de computer terecht komen. Hoe zou jij dit voor elkaar krijgen? Heb jij al eens door de bril van een aanvaller gekeken?

Verplaatsen

Stel een een aanvaller doet zich voor als jouw leidinggevende en verstuurt een e-mail met een bestand naar al je collega’s (Internal Spearphishing). Hoeveel collega’s zouden dit bestand dan openen? Kun jij bestanden van de ene computer naar een andere computer verplaatsen (Lateral Tool Transfer), zodat jij op de andere computer de bestanden kunt gebruiken? Wordt er binnen jullie organisatie gebruik gemaakt van software zoals Remote Desktop (Remote Services), om op afstand een andere computer te besturen? En hoe zit het met gedeelde mappen tussen computers (SMB/Windows Admin Shares)? Vind jij het vergezocht dat onze digitale tegenstander een veelgebruikt bestand in een gedeelde map zou vervangen (Taint Shared Content) door een malafide bestand met dezelfde naam?

Toegangspassen

De meest beruchte methode van Lateral Movement is 'Pass the Hash'. Deze aanval is het beste uit te leggen door een vergelijking te maken van de digitale wereld naar de fysieke wereld. Een IT-netwerk van een bedrijf kun je zien als een digitaal gebouw met kamers en afdelingen. Bij veel organisaties hebben medewerkers toegangspassen om toegang te krijgen tot bepaalde ruimtes. Zo’n toegangspas is veelal persoonsgebonden en vertelt het digitale slot op de deur dat de bezitter van de toegangspas de deur mag openen. Het hebben van één toegangspas per medewerker is gebruiksvriendelijker dan iedere medewerker voorzien van een grote sleutelbos met een aparte sleutel voor iedere ruimte.

Binnen een IT-netwerk worden achter de schermen ook digitale toegangspassen aangemaakt voor medewerkers, om zo geautomatiseerd toegang te verlenen tot digitale ruimtes. Dit gebeurt automatisch en heb je veelal als medewerker niet door, zodat je maar met 1x inloggen op je computer toegang krijgt tot van alles in het netwerk. Bij een Pass the Hash-aanval weet onze tegenstander de digitale toegangspas van een medewerker te achterhalen en kan de aanvaller zich met deze pas voordoen als de medewerker binnen het IT-netwerk, zelfs zonder het wachtwoord van de medewerker te weten.

Hoe weert jullie organisatie zich tegen deze technieken?

Al met al input voor een gesprek tijdens de koffiepauze.

Volgende blogpost in deze reeks: Deel 6: Discovery