橫向移動是攻擊者在受感染網絡內更深入地控制其他系統或存取敏感數據及漏洞的過程。
目錄
攻擊者不會立即針對敏感數據或關鍵系統,而是花時間探索網絡、升級權限、識別高價值目標及在網絡中持久存在。這方法在進階持續性攻擊及其他精密的網絡攻擊中很常見。
即使發現資料外洩事件,黑客仍可在網絡內橫向移動來避免偵測。如果攻擊者在網絡中建立持續性並避過偵測,就會透過勒索程式攻擊、數據外傳或間諜程式對機構造成嚴重損害。
橫向移動的階段
橫向移動攻擊並非單一階段的攻擊,而是在多階段的攻擊中小心執行,以滲透及入侵網絡。下文概述橫向移動的典型階段:
偵察
在偵察階段,攻擊者會先配對網絡架構、識別連接裝置及搜尋有價值的目標。攻擊者會探索及配對網絡,包括敏感數據的位置、憑證及保安配置。這是一個重要階段,有助攻擊者了解系統之間的關係,並計劃下一步行動,避免被保安偵測。
憑證收集
一旦完成偵查,攻擊者通常會專注於從被入侵的系統以取得用戶名稱、密碼或密碼雜湊等憑證。Mimikatz 等憑證轉存工具或暴力攻擊弱密碼是獲取更高權限賬戶的常用方法。這些被盜的憑證讓攻擊者冒充合法用戶,使他們能夠在不引起懷疑的情況下進行網絡橫向移動。
特權升級
特權升級涉及利用軟件漏洞、配置錯誤或不良的存取管控來獲得更高級別權限。攻擊者可能利用應用程式上的漏洞來獲得管理權限,以不受限制地存取關鍵系統。權限升級是橫向移動攻擊的關鍵,因為它可顯著提升攻擊者深入網絡的能力。
橫向移動
一旦攻擊者擁有足夠的憑證及權限,便可進行橫向移動。這涉及從一個系統到網絡中的另一個系統,獲取資源,為攻擊的最後階段做好準備,以及尋找保安團隊可以用來阻止攻擊的反制措施。攻擊者可以使用遠端桌面協定(RDP)、PowerShell 或 Windows Management Instrumentation (WMI)等合法工具來混合正常操作,並避免被偵測。攻擊者亦可能安裝後門程式或建立持續性機制,以便在初始入侵點被發現並關閉時維持登入網絡。
登入目標及執行
在橫向移動後,攻擊者會到達其目標系統,當中可能儲藏了敏感資料、知識產權或關鍵基礎設施。攻擊也可能執行惡意軟件,例如勒索程式來加密檔案、洩漏敏感資料或停用系統來造成運作中斷。這個階段通常是橫向移動過程的最後一步。攻擊者不被偵測並持續登入網絡的時間越長,機構可能遭受的損害就越大。
甚麼類型的攻擊採用橫向移動?
勒索程式攻擊
橫向移動是勒索程式活動的重要組成部分。攻擊者跨系統傳播惡意軟件,在加密檔案及要求付款前將其影響最大化。由於整個機構都可能癱瘓,因此這項策略增加了支付贖金的可能性。
數據外傳
攻擊者通常依賴橫向移動來定位及提取敏感資料。透過滲透網絡的不同部分,他們可以識別重要的數據,例如知識產權、財務記錄或個人身份資料(PII)。成功的資料外傳可能導致機構遭受嚴重的聲譽及財務損害。
間諜及進階持續性攻擊
國家贊助的黑客和精密的黑客團體利用橫向移動來長期滲透高價值系統。這些攻擊者的目標是在網絡中持續存在,在不被偵測的情況下收集情報並入侵關鍵的基礎架構。
殭屍網絡感染
在殭屍網絡活動中,橫向移動讓黑客入侵網絡上的其他裝置。透過感染多個用戶端,攻擊者可以擴大其殭屍網絡及攻擊規模。這可能包括分散式阻斷服務攻擊或大型垃圾郵件攻擊。
如何偵測橫向移動
監控驗證記錄
驗證記錄是偵測橫向移動的重要資訊來源。重複登入失敗、從異常位置成功登入或在非正常時段出乎意料的登入等都可能是有惡意活動的跡象。定期檢視這些記錄有助識別未經授權的登入嘗試。
採用 EDR 及 XDR 方案
用戶端偵測與回應(EDR)工具可監控個別裝置有否出現可疑活動,例如未經授權的管理指令。然而,僅是 EDR 可能無法完全偵測橫向移動,尤其是當攻擊者使用躲避策略或停用防護時。擴展式偵測與回應(XDR)在用戶端、網絡、伺服器及雲端環境整合數據來解決此問題。XDR 透過關聯不同層面的活動來提升視野及協助偵測可能繞過 EDR 的威脅,使其成為識別橫向移動的關鍵方案。
分析網絡流量
網絡流量分析工具有助識別網絡內的不規則數據流。例如,在不相關的系統之間進行意料之外的檔案傳輸,或過度上載資料至外部目的地,都是橫向移動的強烈指標。
建立行為基線
透過為正常活動建立基線,機構可以更輕鬆地識別異常活動。例如,PowerShell 的使用突然在一個很少使用的系統飆升,可能顯示攻擊者的存在。基線監測需要一致的記錄和分析才能保持有效。
如何防止橫向移動
執行網絡區隔
將網絡分隔成獨立部份,限制攻擊者在系統之間自由移動的能力。例如,將關鍵基礎架構與一般用途裝置分開,確保即使攻擊者入侵一個環節,它們的影響也會得到控制。
採用零信任架構
零信任原則要求對每個請求進行嚴格驗證,無論其源自網絡內部還是外部。這方法可減低對周邊防禦的依賴,並執行精細的登入管控。
實施多重認證
多重認證為用戶增添額外一層保安,令攻擊者更難濫用被盜的憑證。透過要求用戶透過多個因素驗證身份,機構可降低憑證被盜的有效性。
定期更新及修補系統
未修補的漏洞為黑客提供了輕鬆的入侵點。維持一致的修補排程,確保系統防範已知漏洞,降低橫向移動的風險。
限制權限
應用最低權限原則,限制用戶僅對其角色必需的項目進行存取。這限制了攻擊者在入侵帳戶時升級權限或存取敏感資料的能力。
進行員工培訓
以強密碼防止未經授權的登入
強而獨特的密碼對於防止網絡內未經授權的登入至關重要。漏洞或重複使用的密碼是攻擊者升級權限或跨系統轉移的常見目標。執行複雜的密碼政策、實施多重認證及定期轉換憑證可減低此風險。鼓勵使用密碼管理器有助確保密碼安全及獨特性。此外,應用最低權限原則,確保用戶只能存取所需資源,進一步限制未經授權的存取。
哪些保安方案可以幫助防範橫向移動攻擊?
保安團隊不僅需要視野,他們需要清楚、有優先次序及快速的協調行動,以保護機構免受橫向移動攻擊。Trend Vision One™ Security Operations(SecOps)將我們屢獲殊榮的 XDR、代理式 SIEM 及代理式 SOAR 結合,協助團隊專注於最重要的事項。
李兆熙
產品管理副總裁
李兆熙是趨勢科技產品管理副總裁,負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。他在資訊科技和網絡資訊保安領域累積了 30 多年的經驗,其職業生涯涵蓋基礎架構設計、數據中心營運及資訊保安領導。他早期的事業包括建立歐洲和日本的資訊科技部門,與及管理台灣和菲律賓的保安運作中心,令他深入了解企業面對的挑戰。
這個根基協助他開發符合真實世界需要的創新及可擴充方案。李兆熙以其策略性前瞻、全球產品團隊指導及推動跨部門合作的能力聞名,提供市場領先的資訊保安產品。