Questo articolo si propone di svelare le complessità della tecnica di Lateral Movement, utilizzata da cyber-attaccanti per infiltrarsi e spostarsi all’interno delle reti aziendali. Attraverso un’analisi approfondita, esamineremo come funziona il Lateral Movement, perché rappresenta una minaccia significativa per la sicurezza informatica e quali sono le strategie più efficaci per rilevarlo e contrastarlo.

Prepariamoci a immergerci nel cuore oscuro degli attacchi informatici, dove il Lateral Movement gioca un ruolo cruciale e spesso sottovalutato.

lateral movement in cyber security

Definizione

Il termine “Lateral Movement” si riferisce a una tattica utilizzata nel campo dell’informatica, in modo particolare da attaccanti e malware, per spostarsi all’interno di una rete dopo averne guadagnato l’accesso iniziale. Il movimento laterale è cruciale per alcune tipologie di attacchi che mirano a esplorare la rete, accedere a risorse sensibili e incrementare i propri privilegi senza essere rilevati.
Il processo di Lateral Movement può essere molto discreto, rendendo difficile per le difese tradizionali rilevare l’attività sospetta.

Questa tattica è spesso associata alle cosiddette “Advanced Persistent Threats” (APT), dove gli aggressori, perlopiù gruppi criminali organizzati, mirano a stabilire una presenza a lungo termine in una rete per condurre attività di spionaggio o furto di dati. Il Lateral Movement consente agli attaccanti di navigare da un sistema all’altro e di utilizzare diversi metodi, come l’abuso di credenziali valide, exploit di vulnerabilità non patchate e tecniche di ingegneria sociale, per mantenere l’accesso e espandere la loro portata all’interno dell’ambiente colpito.

processo lateral movement
Tipi di Lateral Movement

Il Lateral Movement all’interno di una rete informatica non è un’azione unica, ma piuttosto un insieme di tecniche e strategie diversificate.
Gli attaccanti possono sfruttare diversi metodi per muoversi lateralmente, ciascuno con le sue peculiarità e sfide di rilevazione.

Uso di credenziali esfiltrate

Una delle tecniche più comuni per il movimento laterali in informatica implica l’uso di credenziali di accesso rubate o compromesse. Gli attaccanti, una volta ottenuto l’accesso a un account, possono usarlo per accedere ad altri sistemi e servizi all’interno della rete.

Pass-the-Hash / Pass-the-Ticket

Questi metodi sfruttano l’autenticazione basata su hash o ticket per accedere a risorse di rete senza necessità di conoscere la password in chiaro dell’utente.

Sfruttamento di vulnerabilità

Gli attaccanti possono utilizzare vulnerabilità note nei software o nei sistemi operativi per guadagnare accesso o elevare i privilegi su altri nodi della rete.

Movimento tramite servizi di rete

Gli attaccanti possono sfruttare servizi di rete comuni, come SMB (Server Message Block) o RDP (Remote Desktop Protocol), per navigare da un sistema all’altro.

Esempio di movimento laterale

Immaginiamo per un attimo che un attaccante sia riuscito a infiltrarsi in una rete aziendale attraverso un’email di phishing.

Una volta all’interno, l’attaccante installa un componente keylogger su un computer di un dipendente, riuscendo così a captare le credenziali di accesso di quest’ultimo. Con queste informazioni, l’attaccante accede a un server di file condivisi all’interno della rete aziendale.

Utilizzando le credenziali rubate, l’attaccante esplora il server e trova documenti sensibili, ma si rende conto che per accedere a dati ancora più utili, necessita di privilegi amministrativi. Sfruttando la presenza di una vulnerabilità nel sistema operativo del server, l’attaccante esegue un exploit che gli consente di elevare i propri privilegi a quelli di un amministratore di sistema.

Ora con privilegi elevati, l’attaccante utilizza il protocollo RDP (Remote Desktop Protocol) per accedere a un altro server, questa volta uno che gestisce informazioni finanziarie. Dopo aver esfiltrato i dati desiderati, l’attaccante copre le proprie tracce, cancellando i log di sistema che potrebbero indicare un’attività sospetta.

Quali attacchi informatici utilizzano il movimento laterale?

Il movimento laterale è una tattica a cui ricorrono vari tipi di attacchi informatici. In particolare, quelli che richiedono un accesso prolungato o una lunga permanenza della minaccia nelle reti delle vittime. Ecco alcuni tipi di attacchi in cui il processo di movimento laterale gioca un ruolo cruciale:

  1. Trojan Bancari
    Questi malware, una volta infiltrati in un singolo endpoint, possono ricorrere alle tecniche di movimento laterale per propagarsi attraverso la rete aziendale. Ad esempio, possono sfruttare vulnerabilità di protocolli come SMB o RDP per diffondersi ad altri sistemi e catturare credenziali di accesso bancarie su una scala più ampia.
  2. Rootkit
    Dopo aver ottenuto l’accesso a un sistema, i rootkit cercano di estendere il loro controllo ad altri sistemi nella rete.
    Utilizzano metodi sofisticati come hooking del kernel, modifiche a livello di driver e manipolazione di processi di sistema, riescono a nascondere la loro presenza e spostarsi.
  3. APT (Advanced Persistent Threats) e RAT (Remote Access Trojans)
    Queste minacce spesso impiegano il movimento laterale come parte della loro fase di stabilizzazione all’interno della rete.
    Utilizzano tecniche come pass-the-hash, pass-the-ticket e exploit di elevazione di privilegi per navigare tra i sistemi, mantenendo un profilo basso per evitare rilevazioni.
  4. Worm
    Questi tipi di malware sono progettati per propagarsi automaticamente all’interno delle reti.
    Una volta eseguiti su un host, utilizzano varie tecniche di movimento laterale per replicarsi sugli altri host della rete, sfruttando spesso vulnerabilità note o configurazioni di rete deboli.
  5. Ransomware
    Molti attacchi ransomware moderni non si limitano a criptare i dati su un singolo host. Invece, dopo l’infezione iniziale, cercano attivamente di muoversi lateralmente attraverso tecniche come l’esecuzione di script PowerShell, l’abuso di protocolli di amministrazione remota o l’exploit di vulnerabilità di rete per massimizzare l’impatto del loro attacco.

Bloccare la tecnica di lateral movement

Nel contrastare gli attacchi informatici sofisticati, una delle sfide più critiche è impedire il movimento laterale degli aggressori all’interno della rete. Una volta guadagnato l’accesso, gli attaccanti cercano di spostarsi discretamente da un sistema all’altro per raggiungere i loro obiettivi. Prevenire questa fase del loro attacco richiede un approccio strategico e multi-dimensionale.

Segmentazione di rete

Implementare la strategia di segmentazione rigorosa della rete per limitare l’accesso tra diverse parti della rete. Ciò impedisce agli attaccanti di accedere facilmente a tutta la rete anche se riescono a compromettere un segmento.

Gestione delle credenziali sicura e MFA

Rafforzare le politiche di sicurezza per le credenziali, specialmente per gli account amministrativi, e implementare l’autenticazione multi-fattore per ridurre il rischio di compromissione delle credenziali.

Endpoint Detection and Response (EDR)

Utilizzare queste soluzioni per monitorare e rispondere a comportamenti sospetti sui dispositivi endpoint, fornendo una difesa in tempo reale contro il movimento laterale.

Monitoraggio del traffico di rete

Adottare strumenti di monitoraggio e analisi del traffico di rete per rilevare anomalie e segnali di movimento laterale, come tentativi insoliti di accesso a server o servizi.

Aggiornamenti e patch di sicurezza

Mantenere sistemi e applicazioni aggiornati con le ultime patch di sicurezza per chiudere le vulnerabilità che possono essere sfruttate per il movimento laterale.