Embora seja um tipo de ataque cujas técnicas e conceitos aplicados estão presentes em diversos processos de exploração, inclusive como parte importante de Ameaças Persistentes Avançadas (APTs), neste artigo abordamos o que é um Ataque Lateral, e algumas de suas características.

Fonte: Adaptado de Inside Microsoft Threat Protection: Attack modeling for finding and stopping lateral movement

O que é um Ataque Lateral?

Consiste na exploração de vulnerabilidades para acessar um alvo inicial, que serve como ponto de entrada para alcançar alvos maiores, geralmente na mesma rede. O atacante, a princípio, não tem acesso ou conhecimento sobre esses alvos. Assim, associa-se frequentemente ataques laterais a Ameaças Persistentes Avançadas (APT), uma classe de ataques mais elaborados que visa alcançar um maior impacto e garantir sua durabilidade.

Existem fases definidas? se sim quais são, normalmente?

Algumas etapas do processo de execução de ataques laterais são bem conhecidas, como: 

– Exploração de um alvo inicial;

– Estabelecimento de comunicação entre alvo e atacante;

– Persistência no alvo inicial;

– Reconhecimento dos demais alvos na rede; e

– Exploração destes.

O que pode acontecer neste tipo de ataque?

Neste ataque, um único vetor de entrada pode comprometer toda a infraestrutura e segurança, tornando sistemas críticos vulneráveis. Ademais, a falta de atualização ou software desconhecido agrava o risco.

Existem exemplos de ataques laterais?

Alguns ataques (Lateral movement) comuns nos quais é possível observar a presença de ataques laterais são:

   – DDoS (ataque distribuído de negação de serviço): ao infectar um alvo inicial o atacante utiliza o ataque lateral para aumentar sua rede de dispositivos “zumbis”. No entanto, estes dispositivos são controlados pelo atacante e ficam aguardando o comando para iniciar o ataque;

    – Ransomware: ao infectar um alvo inicial o próprio ransomware identifica os demais potenciais alvos ao seu alcance e se espalha lateralmente para expandir a abrangência de seu ataque;

    – O framework MITRE ATT&CK reserva uma seção que relaciona diversas técnicas de ataque lateral a APTs conhecidas.

Como podemos prevenir tal evento?

Como bem se sabe uma boa segurança é feita em camadas, por isso, além de implementar mecanismos de segurança e gerenciamento de ameaças de modo que todos os serviços estejam sempre atualizados, é necessário que haja uma política de segurança bem definida e o entendimento por todos os colaboradores de sua importância para a manutenção no nível de segurança da empresa. Portanto, revisar políticas de firewall, estar atento a novas vulnerabilidades e manter todos os serviços e aplicativos atualizações com a última versão são ações básicas que ajudam a prevenir ataques laterais. Além disso, para evitar uma falsa noção do nível de segurança das medidas adotadas, é imprescindível realizar pentests recorrentes. Ademais, esses testes fornecem uma visão real do nível de segurança obtido.