Lateral Movement
Was ist Lateral Movement?
Lateral MovementMITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
Lateral Movement (MITRE-ATT&CK-Taktik TA0008) fasst Techniken zusammen, mit denen Angreifer ihren Foothold ausweiten, indem sie auf andere Systeme, Konten oder Cloud-Tenants übergehen. Beispiele sind Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, das Übernehmen von RDP- und SSH-Sitzungen, das Ausnutzen entfernter Dienste (SMB, WinRM, WMI, PsExec), der Einsatz von Cobalt Strike und das Replay gültiger OAuth-/SAML-Token gegen Cloud-APIs. Lateral Movement ist häufig die telemetrisch lauteste Phase, weil sie Host-Grenzen überschreitet. Verteidiger setzen auf Netzwerksegmentierung, Identity-Tiering, Just-in-Time-Admin, MFA für Remote-Protokolle, hostübergreifende EDR-Korrelation und Sigma-/MDE-Erkennungen für SMB- und RPC-Pivots.
● Beispiele
- 01
Per Pass-the-Hash mit einem erbeuteten NTLM-Hash gegen einen Dateiserver authentifizieren.
- 02
Diebstahl eines RDP-Session-Cookies, um von einer Workstation auf eine Jump Box zu wechseln.
● Häufige Fragen
Was ist Lateral Movement?
MITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Lateral Movement?
MITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
Wie funktioniert Lateral Movement?
Lateral Movement (MITRE-ATT&CK-Taktik TA0008) fasst Techniken zusammen, mit denen Angreifer ihren Foothold ausweiten, indem sie auf andere Systeme, Konten oder Cloud-Tenants übergehen. Beispiele sind Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, das Übernehmen von RDP- und SSH-Sitzungen, das Ausnutzen entfernter Dienste (SMB, WinRM, WMI, PsExec), der Einsatz von Cobalt Strike und das Replay gültiger OAuth-/SAML-Token gegen Cloud-APIs. Lateral Movement ist häufig die telemetrisch lauteste Phase, weil sie Host-Grenzen überschreitet. Verteidiger setzen auf Netzwerksegmentierung, Identity-Tiering, Just-in-Time-Admin, MFA für Remote-Protokolle, hostübergreifende EDR-Korrelation und Sigma-/MDE-Erkennungen für SMB- und RPC-Pivots.
Wie schützt man sich gegen Lateral Movement?
Schutzmaßnahmen gegen Lateral Movement kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Lateral Movement?
Übliche alternative Bezeichnungen: Pivoting, Seitwärtsbewegung.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 229
Credential Access
MITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
- defense-ops№ 193
Cobalt Strike
Eine kommerzielle Adversary-Simulation-Plattform, die in Red-Team-Operationen weit verbreitet ist und von Angreifern haeufig fuer Post-Exploitation und Command-and-Control missbraucht wird.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- defense-ops№ 325
Discovery (MITRE-Taktik)
MITRE-ATT&CK-Taktik (TA0007), die Techniken bündelt, mit denen Angreifer eine kompromittierte Umgebung nach dem Eindringen kartieren.
- network-security№ 723
Netzwerksegmentierung
Die Praxis, ein Netzwerk in mehrere Zonen aufzuteilen und den Verkehr zwischen ihnen zu kontrollieren, um Einbrüche einzudämmen und Least-Privilege umzusetzen.
● Siehe auch
- № 107BloodHound
- № 790Pass-the-Hash
- № 1088SSH-Agent-Forwarding
- № 293Deception-Technologie