Lateral Movement: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Bei Lateral Movement werden mehrere Rechner kompromittiert. Den ersten infizierten Rechner, den Patient Zero, können die Angreifer zunächst nur mit den Recht…“)
 
Keine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
Bei Lateral Movement werden mehrere Rechner kompromittiert. Den ersten infizierten Rechner, den Patient Zero, können die Angreifer zunächst nur mit den Rechten kontrollieren, die die Zielperson hat. Das sind in der Regel normale Nutzerrechte. Daher ist das erste Ziel der Angreifer die Privilegieneskalation, also die Auswertung der Rechte, möglichst auf die Ebene eines System-Administrators. Für diese Kategorie gibt es spezielle Exploits, die genau zu diesem Zweck entwickelt wurden. Sobald die Angreifer auf dem Patient Zero durch einen Exploit Administrationsrechte erlangt haben, wird der Arbeitsspeicher nach Zugangsdaten anderer Nutzer und Dienste durchsucht. Interessant sind hierbei die Loggingdaten der Administratoren und der automatisierten Backup-Dienste. Mittels Penetrationstest-Werkzeugen können solche Zugangsdaten auslesen. Mittels Pass-the-Has-Angriffen werden kryptografisch abgeleitete Hashes aus dem Speicher gelesen. Mit den entsprechenden Werkzeugen können diese Hashes genauso wie Passwörter verwendet werden. Damit ist es den Angreifern möglich, sich als Administratoren auf beliebigen Rechnern im Netzwerk anzumelden. Indem sich die Angreifer von einem Rechner zum nächsten bewegen, sammeln sie weitere Informationen über das Netzwerk der Zielorganisation. Zusätzlich werden geeignete Systeme identifiziert, auf denen sie Backdoors verstecken können.
Bei '''Lateral Movement''' werden mehrere Rechner kompromittiert. Den ersten infizierten Rechner, den Patient Zero, können die Angreifer zunächst nur mit den Rechten kontrollieren, die die Zielperson hat. Das sind in der Regel normale Nutzerrechte. Daher ist das erste Ziel der Angreifer die Privilegieneskalation, also die Auswertung der Rechte, möglichst auf die Ebene eines System-Administrators. Für diese Kategorie gibt es spezielle Exploits, die genau zu diesem Zweck entwickelt wurden. Sobald die Angreifer auf dem Patient Zero durch einen Exploit Administrationsrechte erlangt haben, wird der Arbeitsspeicher nach Zugangsdaten anderer Nutzer und Dienste durchsucht. Interessant sind hierbei die Loggingdaten der Administratoren und der automatisierten Backup-Dienste. Mittels Penetrationstest-Werkzeugen können solche Zugangsdaten auslesen. Mittels Pass-the-Has-Angriffen werden kryptografisch abgeleitete Hashes aus dem Speicher gelesen. Mit den entsprechenden Werkzeugen können diese Hashes genauso wie Passwörter verwendet werden. Damit ist es den Angreifern möglich, sich als Administratoren auf beliebigen Rechnern im Netzwerk anzumelden. Indem sich die Angreifer von einem Rechner zum nächsten bewegen, sammeln sie weitere Informationen über das Netzwerk der Zielorganisation. Zusätzlich werden geeignete Systeme identifiziert, auf denen sie Backdoors verstecken können.

Aktuelle Version vom 21. August 2019, 11:35 Uhr

Bei Lateral Movement werden mehrere Rechner kompromittiert. Den ersten infizierten Rechner, den Patient Zero, können die Angreifer zunächst nur mit den Rechten kontrollieren, die die Zielperson hat. Das sind in der Regel normale Nutzerrechte. Daher ist das erste Ziel der Angreifer die Privilegieneskalation, also die Auswertung der Rechte, möglichst auf die Ebene eines System-Administrators. Für diese Kategorie gibt es spezielle Exploits, die genau zu diesem Zweck entwickelt wurden. Sobald die Angreifer auf dem Patient Zero durch einen Exploit Administrationsrechte erlangt haben, wird der Arbeitsspeicher nach Zugangsdaten anderer Nutzer und Dienste durchsucht. Interessant sind hierbei die Loggingdaten der Administratoren und der automatisierten Backup-Dienste. Mittels Penetrationstest-Werkzeugen können solche Zugangsdaten auslesen. Mittels Pass-the-Has-Angriffen werden kryptografisch abgeleitete Hashes aus dem Speicher gelesen. Mit den entsprechenden Werkzeugen können diese Hashes genauso wie Passwörter verwendet werden. Damit ist es den Angreifern möglich, sich als Administratoren auf beliebigen Rechnern im Netzwerk anzumelden. Indem sich die Angreifer von einem Rechner zum nächsten bewegen, sammeln sie weitere Informationen über das Netzwerk der Zielorganisation. Zusätzlich werden geeignete Systeme identifiziert, auf denen sie Backdoors verstecken können.