FAQ Lateral movement – Ataque Lateral

Embora seja um tipo de ataque cujas técnicas e conceitos aplicados estão presentes em diversos processos de exploração, inclusive como parte importante de Ameaças Persistentes Avançadas (APTs), neste artigo abordamos o que é um Ataque Lateral, e algumas de suas características.

Fonte: Adaptado de Inside Microsoft Threat Protection: Attack modeling for finding and stopping lateral movement

O que é um Ataque Lateral?

Consiste na exploração de vulnerabilidades a fim de obter acesso a um alvo inicial (ponto de entrada) e por meio dele alcançar outros alvos maiores, geralmente na mesma rede ou acessíveis a partir da rede do alvo inicial, mas que o atacante não tem acesso ou conhecimento sobre, a princípio. Ataques laterais costumam ser associados a Ameaças Persistentes Avançadas (APT), classe de ataques mais elaborados cujo objetivo está relacionado a um maior alcance e durabilidade do mesmo.

Existem fases definidas? se sim quais são, normalmente?

Algumas etapas do processo de execução de ataques laterais são bem conhecidas, como: 

– Exploração de um alvo inicial;

– Estabelecimento de comunicação entre alvo e atacante;

– Persistência no alvo inicial;

– Reconhecimento dos demais alvos na rede; e

– Exploração destes.

O que pode acontecer neste tipo de ataque?

Neste ataque um único vetor de entrada pode colocar em risco toda a infraestrutura e sistema de segurança implementado, de modo que, mesmo sistemas críticos e altamente protegidos se tornem acessíveis e vulneráveis devido a falta de atualização de um serviço ou aplicação no alvo inicial, instalação de software de origem desconhecida ou o negligenciamento de aspectos da segurança interna devido a alta confiança em sistemas de proteção de borda.

Existem exemplos de ataques laterais?

Alguns ataques comuns nos quais é possível observar a presença de ataques laterais são:

    – DDoS (ataque distribuído de negação de serviço): ao infectar um alvo inicial o atacante utiliza o ataque lateral para aumentar sua rede de dispositivos “zumbis”. Estes dispositivos são controlados pelo atacante e ficam aguardando o comando para iniciar o ataque;

    – Ransomware: ao infectar um alvo inicial o próprio ransomware identifica os demais potenciais alvos ao seu alcance e se espalha lateralmente para expandir a abrangência de seu ataque;

    – O framework MITRE ATT&CK reserva uma seção que relaciona diversas técnicas de ataque lateral a APTs conhecidas.

Como podemos prevenir tal evento?

Como bem se sabe uma boa segurança é feita em camadas, em vista disso, além de implementar mecanismos de segurança e gerenciamento de ameaças de modo que todos os serviços estejam sempre atualizados, é necessário que haja uma política de segurança bem definida e o entendimento por todos os colaboradores de sua importância para a manutenção no nível de segurança da empresa. Deste modo, revisar políticas de firewall, estar atento a novas vulnerabilidades e manter todos os serviços e aplicativos atualizações com a última versão são ações básicas que ajudam a prevenir ataques laterais. Além disso, para que não haja uma falsa noção do nível de segurança a partir das medidas adotadas, a execução recorrente de pentests que avaliem a efetividade do que foi implementado é imprescindível, uma vez que por meio deles é possível ter uma visão real do nível de segurança obtido.