Горизонтальное распространение — это процесс, с помощью которого злоумышленники глубже проникают в зараженную сеть, захватывая контроль над другими системами, получая доступ к конфиденциальным данным и используя уязвимости.
Содержание
Не пытаясь напрямую получить доступ к чувствительным данным или критически важным системам, злоумышленники сначала изучают сеть, повышают привилегии, выявляют ценные цели и закрепляются в сети. Такой продуманный подход часто применяется в сложных постоянных угрозах (APT) и других изощренных кибератаках.
Даже если обнаружена утечка, злоумышленник может остаться в сети, перемещаясь по ней горизонтально, чтобы избежать обнаружения. Если злоумышленникам удается закрепиться в сети и остаться незамеченными, они могут нанести серьезный ущерб организации, прибегая к установке программ-вымогателей, краже данных или шпионажу.
Этапы горизонтального распространения
Атаки с горизонтальным распространением происходят в несколько тщательно спланированных этапов, охватывающих проникновение в сеть и ее эксплуатацию. Далее приводятся типичные этапы горизонтального распространения:
Разведка
На этапе разведки злоумышленники сопоставляют архитектуру сети, выявляют подключенные к ней устройства и выискивают ценные цели. Они изучают и анализируют сеть, включая местоположение чувствительных данных, учетные данные и конфигурации безопасности. Это важный этап, на котором злоумышленники понимают взаимосвязь между системами и планируют дальнейшие шаги, избегая обнаружения.
Сбор учетных данных
Завершив разведку, злоумышленники часто переходят к сбору учетных данных, таких как имена пользователей, пароли или хеши паролей из скомпрометированных систем. Инструменты извлечения учетных данных, такие как Mimikatz, или подбор слабых паролей являются распространенными методами, используемыми для получения доступа к учетным записям с более высокими привилегиями. Украденные учетные данные позволяют злоумышленникам выдавать себя за легитимных пользователей и перемещаться по сети горизонтально, не вызывая подозрений.
Эскалация привилегий
Эскалация привилегий позволяет получать разрешения более высокого уровня путем использования уязвимостей в программном обеспечения, неправильных конфигураций или плохого контроля доступа. Злоумышленники могут использовать дефекты в приложении, чтобы получить административные привилегии и неограниченный доступ к критически важным системам. Эскалация привилегий является ключевым этапом атаки с горизонтальным распространением, поскольку она значительно повышает шансы злоумышленников на проникновение в сеть.
Горизонтальное распространение
Как только злоумышленники получат учетные данные и достаточный привилегии, они могут приступать собственно к горизонтальному распространению. То есть они могут перейти в сети от одной системы к другой, получать доступ к ресурсам и готовиться к последним этапам атаки, а также обнаруживать контрмеры, которые команда безопасности пытается использовать против них. Злоумышленники могут применять такие законные инструменты, как Remote Desktop Protocol (RDP), PowerShell или Windows Management Instrumentation (WMI), чтобы влиться в обычный поток операций и избежать обнаружения. Злоумышленники также могут внедрять бэкдоры или механизмы устойчивости для сохранения доступа к сети даже после того, как первоначальная точка входа будет обнаружена и закрыта.
Доступ к цели и выполнение задачи
После горизонтального распространения злоумышленники достигают целевых систем, которые могут содержать чувствительные данные, интеллектуальную собственность или критически важную инфраструктуру. Атаки также могут запускать вредоносное программное обеспечение, например программы-вымогатели, для шифрования файлов, кражи чувствительных данных или отключения систем, что может привести к нарушению работы. Этот этап часто является кульминацией процесса горизонтального распространения. Чем дольше злоумышленники сохраняют доступ к сети, оставаясь незамеченными, тем масштабнее будет ущерб.
Какие типы атак используют горизонтальное распространение?
Атаки программ-вымогателей
Горизонтальное распространение является ключевым компонентом кампаний с применением программ-вымогателей. Злоумышленники перемещаются по системам, чтобы распространить вредоносное ПО, максимально увеличивая его воздействие, прежде чем зашифровать файлы и потребовать выкуп. Такая стратегия повышает вероятность выплаты выкупа, поскольку позволяют парализовать работу организации.
Кража данных
Злоумышленники с помощью горизонтального распространения ищут и извлекают чувствительную информацию. Проникая в различные части сети, они находят ценные активы, такие как интеллектуальная собственность, финансовые записи или персональные данные. Кража данных может привести к серьезному репутационному и финансовому ущербу.
Шпионаж и сложные постоянные угрозы (APT)
Злоумышленники, спонсируемые государством, и профессиональные хакерские группировки используют горизонтальное распространение для длительного пребывания в важных системах. Они стремятся задержаться в сети, чтобы собирать ценные данные и компрометировать критические инфраструктуры, оставаясь при этом незамеченными.
Ботнет
В ботнетах горизонтальное распространение позволяет злоумышленникам компрометировать дополнительные устройства в сети. Заражая несколько конечных точек, злоумышленники расширяют ботнет и увеличивают масштаб атак. Сюда могут входить распределенные атаки типа «отказ в обслуживании» (DDoS) или крупномасштабные спам-кампании.
Как обнаружить горизонтальное распространение
Мониторинг журналов аутентификации
Журналы аутентификации — это важный источник информации для обнаружения горизонтального распространения. Такие признаки, как повторяющиеся неудачные попытки входа в систему, успешные входы из необычных местоположений или неожиданный доступ в нестандартные часы, могут указывать на вредоносную активность. Регулярная проверка этих журналов помогает выявить попытки несанкционированного доступа.
Решения EDR и XDR
Инструменты обнаружения и реагирования для конечных точек (Endpoint detection and response, EDR) отслеживают отдельные устройства на предмет подозрительной активности, такой как несанкционированные административные команды. Однако само по себе EDR может не полностью обнаруживать горизонтальное распространение, особенно когда злоумышленники используют тактику уклонения или отключают защиту. Расширенное обнаружение и реагирование (Extended detection and response, XDR) решает эту проблему путем интеграции данных на конечных точках, в сети, на сервере и в облачных средах. Сопоставляя действия на этих уровнях, XDR улучшает прозрачность и помогает обнаруживать угрозы, которые обошли EDR. Это ключевое решение для выявления горизонтального распространения.
Анализ сетевого трафика
Инструменты анализа сетевого трафика (Network traffic analysis, NTA) помогают выявлять нерегулярные потоки данных в сети. Например, неожиданная передача файлов между несвязанными системами или загрузка большого объема данных во внешние пункты назначения красноречиво указывают на горизонтальное распространение.
Установка базовых показателей поведения
Базовые показатели для типичной деятельности упрощают выявление аномалий. Например, внезапный скачок трафика в PowerShell в системе, которая редко его использует, может указывать на присутствие злоумышленника. Эффективный мониторинг базовых показателей требует согласованного логирования и анализа.
Как предотвратить горизонтальное распространение
Сегментация сети
Разделение сетей на изолированные сегменты ограничивает злоумышленникам свободное передвижение между системами. Например, изоляция критической инфраструктуры от устройств общего назначения гарантирует, что при компрометации одного сегмента воздействие не распространится на остальные.
Архитектура нулевого доверия
Принципы нулевого доверия требуют строгой проверки для каждого запроса, даже если он исходит из самой сети. Такой подход минимизирует зависимость от защиты периметра и обеспечивает детальный контроль доступа.
Многофакторная аутентификация (MFA)
MFA добавляет дополнительный уровень безопасности к аутентификации пользователей, что усложняет злоумышленникам использование украденных учетных данных. Требуя от пользователей подтвердить личность с помощью нескольких факторов, организации снижают эффективность кражи учетных данных.
Регулярная установка обновлений и исправлений
Неисправленные уязвимости открывают перед злоумышленниками двери в систему. Соблюдение графика установки исправлений обеспечивает защиту систем от известных эксплойтов, снижая риск горизонтального распространения.
Ограничение привилегий
Принципа наименьших привилегий ограничивает доступ пользователей, позволяя им пользоваться только теми данными, которые необходимы для выполнения рабочих обязанностей. Такой подход мешает злоумышленникам эскалировать привилегии или получать доступ к чувствительным данным даже из скомпрометированной учетной записи.
Обучение сотрудников
Обучение сотрудников по фишингу и социальной инженерии помогает снизить риск первоначальной компрометации. Регулярное обучение гарантирует, что сотрудники знают о возникающих угрозах и понимают передовые методы обеспечения безопасности.
Предотвращение несанкционированного доступа с помощью надежных паролей
Надежные уникальные пароли имеют решающее значение для предотвращения несанкционированного доступа в сеть. Слабые и одинаковые пароли легко взламываются и позволяют эскалировать привилегии и переходить из одной системы в другую. Применение сложных политик паролей, многофакторная аутентификация (MFA) и регулярное изменение учетных данных помогают снизить этот риск. Менеджеров паролей — удобный инструмент для поддержания безопасности и уникальности паролей. Кроме того, принцип наименьших привилегий гарантирует пользователям доступ к ресурсам только по служебной необходимости, что является дополнительной защитой от несанкционированного доступа.
Какие решения по безопасности помогают защититься от атак с горизонтальным распространением?
Командам по безопасности требуется не только прозрачнсть, но и ясность, расстановка приоритетов и быстрые скоординированные действия для защиты организации от атак с горизонтальным распространением. Trend Vision One™ Security Operations (SecOps) объединяет удостоенное наград решение XDR, агентский SIEM и агентский SOAR (оркестрация, автоматизация и реагирование), чтобы помочь командам сосредоточиться на самом важном.
Джо Ли (Joe Lee)
Вице-президент по управлению продуктами
На должности вице-президента по управлению продуктами в Trend Micro Джо Ли руководит глобальной стратегией и разработкой продуктов в сфере корпоративных решений для электронной почты и сетевой безопасности.