Атака №9: Ескалация на привилегии и странично придвижване (Privilege Escalation & Lateral Movement)
Как атакуващите разширяват достъпа си вътре в средата
Обобщение – Ескалация на привилегии и странично придвижване (Privilege Escalation & Lateral Movement)
| Категория | Накратко |
|---|---|
| Какво представлява | Техники, използвани от атакуващи за получаване на по-високи привилегии и придвижване между системи след първоначален достъп. |
| Най-чести таргети | Вътрешни мрежи, Active Directory среди, административни акаунти и хибридни инфраструктури. |
| На какво разчита | Слаба сегментация, прекомерни привилегии, повторно използване на креденшъли и недостатъчен мониторинг. |
| Как се хваща | Нетипична автентикация, промени в привилегии, необичайни вътрешни връзки и поведенчески аномалии. |
| Основен риск | Разширяване на компрометирането, по-широк достъп до системи и подготовка за ransomware или кражба на данни. |
| Какво реално помага | Least privilege, сегментация, identity мониторинг, MFA и SOC видимост. |
Как работи атаката
Първоначалният достъп рядко е крайната цел.
Атакуващите обикновено се опитват да разширят позицията си вътре в средата.
След като система или акаунт бъде компрометиран, следващата стъпка често е ескалация на привилегии (privilege escalation). получаване на по-високи права от първоначално наличните.
Това може да включва:
- използване на грешни конфигурации
- кражба на административни креденшъли
- злоупотреба с прекомерни права
- използване на кеширани сесии или токени
След увеличаване на привилегиите започва странично придвижване (lateral movement). придвижване между системи, акаунти и услуги с цел достигане до критични ресурси. Целта е устойчивост, видимост и по-широк контрол.
В много случаи придвижването се случва тихо чрез легитимни протоколи и инструменти, които вече се използват в средата.
Кого таргетира най-често
Ескалацията на привилегии (privilege escalation) е насочена към среди, в които достъпът може да се разпространява.
Роли
- IT администратори
- инфраструктурни екипи
- domain администратори
- потребители с повишени права
Сектори
- enterprise среди
- здравеопазване
- финанси
- производство
- публичен сектор
Тип организации
- организации с плоски мрежи
- хибридни и cloud среди
- компании с legacy системи
- среди със слабо управление на идентичността
Колкото по-свързана е средата, толкова по-лесно става придвижването.
На какво разчита атаката
Ескалацията на привилегии (privilege escalation) е успешна, когато контролът върху достъпа е слаб или непоследователен.
Човешки фактор
- повторно използване на пароли
- лоша privilege хигиена
- прекомерно предоставени права
Технически пропуски
- слаба сегментация
- изложени административни инструменти
- липса на MFA
- несигурно съхранение на креденшъли
Процесни слабости
- липса на преглед на привилегии
- неясна собственост върху достъпа
- недостатъчен мониторинг
- забавено patching
Атакуващите разширяват достъпа си чрез злоупотреба с вече доверени връзки в средата.
Как се хваща
Откриването зависи от видимост върху идентичността и вътрешното поведение.
Какво може да забележи потребителят
- необичайно поведение на акаунт
- неочакван достъп до системи
- странни login заявки
Какво вижда IT екипът
- промени в привилегии
- вътрешно сканиране
- подозрителни remote връзки
- необичайни административни действия
Какво вижда SOC
- модели на вътрешна автентикация
- опити за ескалация на привилегии (privilege escalation)
- нетипична Kerberos или Active Directory активност
- движение между системи и акаунти
Колкото по-рано се засече вътрешното движение, толкова по-малък остава обхватът на компрометирането.
Как се ограничава въздействието
Ограничаването изисква бързо спиране на движението на атакуващия.
Основните действия включват:
- изолиране на засегнатите системи
- деактивиране на компрометирани акаунти
- ограничаване на привилегирован достъп
- смяна на административни креденшъли
- преглед на вътрешни връзки и сесии
Какво не помага:
- фокус само върху първоначалното устройство
- предположение, че достъпът е ограничен
- забавяне на смяната на креденшъли
Вътрешното придвижване (lateral movement) често продължава дълго след първоначалния пробив.
Какво реално помага
Ограничаването на страничното придвижване (lateral movement) изисква силен контрол върху идентичността и достъпа.
Хора
- осъзнатост за привилегирован достъп
- сигурни практики за креденшъли
- докладване на подозрителна активност
Процеси
- least privilege подход
- регулярни прегледи на достъпа
- стратегия за сегментация
- политики за привилегирован достъп
Технологии
- MFA
- PAM решения
- identity мониторинг
- EDR/XDR видимост
- SOC мониторинг
Атакуващите се движат чрез доверени връзки вътре в средата. Видимостта ограничава тази свобода.
Чести митове
„Ако едно устройство е компрометирано, щетата е ограничена“
„Административните акаунти вече са защитени“
„Вътрешният трафик е доверен“
„Ескалацията на привилегии се забелязва лесно“
В действителност страничното придвижване (lateral movement) често изглежда като нормална оперативна активност.
Атака №1: Фишинг и социално инженерство
Атака №2: Злоупотреба с акаунти и превземане на достъп
Атака №3: Компрометиране на бизнес имейли
Атака №7: Malware & Infostealers
Получавайте актуални новини и експертни анализи за киберсигурност
