Lateral Movement

Aus IT-Forensik Wiki
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.

Bei Lateral Movement werden mehrere Rechner kompromittiert. Den ersten infizierten Rechner, den Patient Zero, können die Angreifer zunächst nur mit den Rechten kontrollieren, die die Zielperson hat. Das sind in der Regel normale Nutzerrechte. Daher ist das erste Ziel der Angreifer die Privilegieneskalation, also die Auswertung der Rechte, möglichst auf die Ebene eines System-Administrators. Für diese Kategorie gibt es spezielle Exploits, die genau zu diesem Zweck entwickelt wurden. Sobald die Angreifer auf dem Patient Zero durch einen Exploit Administrationsrechte erlangt haben, wird der Arbeitsspeicher nach Zugangsdaten anderer Nutzer und Dienste durchsucht. Interessant sind hierbei die Loggingdaten der Administratoren und der automatisierten Backup-Dienste. Mittels Penetrationstest-Werkzeugen können solche Zugangsdaten auslesen. Mittels Pass-the-Has-Angriffen werden kryptografisch abgeleitete Hashes aus dem Speicher gelesen. Mit den entsprechenden Werkzeugen können diese Hashes genauso wie Passwörter verwendet werden. Damit ist es den Angreifern möglich, sich als Administratoren auf beliebigen Rechnern im Netzwerk anzumelden. Indem sich die Angreifer von einem Rechner zum nächsten bewegen, sammeln sie weitere Informationen über das Netzwerk der Zielorganisation. Zusätzlich werden geeignete Systeme identifiziert, auf denen sie Backdoors verstecken können.