橫向移動是指駭客進一步深入受感染的網路內部以控制其他系統或存取敏感資料和攻擊漏洞的過程。
目錄
駭客通常不會立即瞄準敏感資料或關鍵系統,而是花時間探索網路、提升權限、發掘高價值目標,並常駐在網路內部。這種精心算計的方法在進階持續性滲透攻擊 (APT) 以及其他精密網路攻擊中相當常見。
就算入侵被人發現,駭客還是可以在網路內部四處遊走以躲避偵測。如果駭客成功常駐在網路內部並避開了偵測,那就可能藉由勒索病毒攻擊、資料外傳,或間諜活動來對企業造成嚴重損害。
橫向移動的階段
橫向移動攻擊並非一個單一階段的流程,而是一套精心執行的多重階段程序,目的是要滲透網路並攻擊其漏洞。以下是橫向移動的幾個典型階段:
偵查
在偵查階段,駭客會先探索網路的架構、尋找連網的裝置,以及搜尋有價值的目標。駭客將探索並描繪出整個網路,包括敏感資料、登入憑證以及資安組態設定所在的位置。這對駭客來說是一個很重要的階段,因為這有助於他們了解系統之間的關係,並規劃接下來的步驟,同時避免被資安系統偵測。
搜刮登入憑證
一旦完成偵查,駭客接下的重點通常是從已遭入侵系統搜括登入憑證,如:使用者名稱、密碼,或密碼雜湊碼。駭客經常使用登入憑證傾印工具 (如 Mimikatz) 或暴力破解強度不足的密碼來進入權限較高的帳號。這些竊取到的登入憑證可讓駭客假扮成正常使用者,因此就能在網路內橫向移動而不讓人起疑。
提升權限
提升權限是指利用軟體漏洞、組態設定錯誤,或是不夠嚴謹的存取控管,來取得更高層級的權限。駭客可能攻擊應用程式漏洞來取得系統管理權限,進而取得關鍵系統的無限制存取能力。提升權限是橫向移動攻擊的重大階段,因為它能大幅提高駭客深入網路的能力。
橫向移動
一旦駭客擁有了充分的登入憑證和權限,就能開始橫向移動,包括:從某個系統移動至網路內的另一個系統、存取資源、執行攻擊的最後準備階段,以及尋找資安團隊可用來攔截攻擊的反制措施。駭客可利用一些正常的工具,如:遠端桌面協定 (RDP)、PowerShell 或 Windows Management Instrumentation (WMI) 來融入正常營運當中以避免被偵測。駭客也可能安裝後門程式或建立常駐機制來維持對網路的存取能力,這樣一來,即使他們一開始的入侵點被發現並遭到封鎖也沒關係。
存取目標與執行攻擊
橫向移動之後,駭客將到達其鎖定的目標系統,也就是敏感資料、智慧財產或關鍵基礎架構所在的位置。此外,駭客還可能執行一些惡意軟體來將檔案加密 (如勒索病毒)、將敏感資料外傳,或是癱瘓系統來造成營運中斷。這通常是橫向移動過程中的最後一個階段,駭客能躲藏在網路內而不被發現的時間越久,就越能造成更大的損害。
哪些類型的攻擊會用到橫向移動?
勒索病毒攻擊
橫向移動是勒索病毒攻擊行動的重要一環。駭客會在系統之間四處遊走來散布惡意程式,盡可能造成最大衝擊,然後再將檔案加密以要求贖金。這樣的策略可以提高受害者支付贖金的機率,因為有可能整個企業都已經癱瘓。
資料外傳
駭客通常要靠橫向移動來尋找及蒐集敏感資訊。藉由滲透各部分的網路,他們就能發掘珍貴的資料,例如:智慧財產、財務記錄或個人身分識別資訊 (PII)。若能成功將資料外傳,就能對企業造成嚴重的商譽與財務損失。
間諜活動與進階持續性滲透攻擊 (APT)
國家級駭客和精密的駭客集團會利用橫向移動來長期滲透高價值系統,這些駭客的目標是要常駐在網路內部、蒐集情報、入侵關鍵基礎設施而不被人發現。
殭屍網路感染
在殭屍網路行動當中,橫向移動可讓駭客入侵網路內的更多裝置。藉由感染更多端點裝置,駭客就能擴大其殭屍網路以及攻擊的規模。這包括分散式阻斷服務 (DDoS) 攻擊或大規模的垃圾郵件攻擊。
如何偵測橫向移動
監控認證記錄檔
認證記錄檔是偵測橫向移動的重要資訊來源,一些異常跡象,例如:重複登入失敗、從異常地點登入成功,或是在奇怪的時段出現非預期的存取,都意味著可能有惡意活動正在進行。定期檢查這些記錄檔,有助於發掘未經授權的嘗試存取。
採用 EDR 與 XDR 解決方案
端點偵測及回應 (EDR) 工具可監控個別裝置是否有可疑活動,例如未經授權的系統管理指令。然而,單靠 EDR 無法百分之百偵測橫向移動,尤其是當駭客使用了躲避技巧或將防護停用時。延伸式偵測及回應 (XDR) 可整合端點、網路、伺服器及雲端環境的資料來解決此問題。XDR 能交叉關聯所有防護層的活動來提升可視性,協助偵測可能避開 EDR 的威脅,使它成為發掘橫向移動的關鍵解決方案。
分析網路流量
網路流量分析 (NTA) 工具有助於發掘網路內的異常資料流量。例如,毫不相干的系統之間出現非預期的檔案傳輸,或者上傳大量資料到外部地點,這些都是橫向移動的強力指標。
建立行為基準
企業若能建立正常活動的基準,就更容易發掘異常狀況。例如,在一個很少用到 PowerShell 的系統上出現該工具使用率暴增的情況,可能意味著有駭客存在。基準的監控需要持續的記錄檔與分析來維持成效。
如何防範橫向移動
強制實施網路分割
將網路分割成多個互相隔離的區段,可限制駭客在系統之間自由移動的能力。例如,將關鍵基礎架構與一般用途的裝置隔離,可確保即使駭客入侵了某個區段,其衝擊也會受到侷限。
採用零信任架構
零信任原則要求嚴格驗證每一次的請求,不論其源頭在網路內部或外部。這套方法能盡可能降低對邊界防禦的依賴,並強制實施精細的存取控管。
實施多重認證 (MFA)
MFA 為使用者認證增加了一層額外的防護,讓駭客更難盜用登入憑證。藉由要求使用者經由多種管道來驗證其身分,企業就能降低竊取登入憑證的效用。
定期更新並修補系統
未修補的漏洞容易為駭客提供入侵點,按部就班地執行系統修補,可確保系統能防範已知的漏洞攻擊,降低橫向移動的風險。
限制權限
採取最低授權原則,限制使用者只能取得執行其職務所必要的權限。如此一來,萬一駭客入侵了某個帳號,其提升權限或存取敏感資料的能力也會受限。
舉辦員工教育訓練
使用高強度密碼來防止未經授權的存取
高強度且獨一無二的密碼,對於防止網路遭到未經授權存取至關重要。強度不足或重複使用的密碼,經常是駭客想要提升權限或跨系統轉移時所覬覦的目標。強制實施複雜密碼政策、採用多重認證 (MFA) 以及定期更換登入憑證,就能降低這項風險。鼓勵使用者採用密碼管理軟體,有助於確保密碼的安全且獨一無二。此外,採取最低授權原則也可確保使用者只能存取他們所需要的資源,進一步限制了未經授權的存取。
哪些資安解決方案有助於防範橫向移動攻擊?
資安團隊需要的不單只有可視性,還需要明確性、優先次序判斷,以及快速協調的行動來保護企業並防範橫向移動攻擊。Trend Vision One™ Security Operations (SecOps) 解決方案將我們屢屢獲獎的 XDR、代理式 SIEM 以及代理式資安自動化協同及回應 (SOAR) 整合在一起,讓 SOC 團隊能專注在最重要的事情上。
Joe Lee
產品管理副總裁
Joe Lee 是趨勢科技產品管理副總裁,負責掌管企業電子郵件與網路防護解決方案的全球策略與產品開發。