Lateralbewegung: Unterschied zwischen den Versionen

Lateralbewegung ist eine zentrale Phase in fortgeschrittenen Cyberangriffen, bei der Angreifer nach dem initialen Kompromiss eines Systems (z. B. durch Phishing) seitwärts durch das Netzwerk navigieren, um weitere Systeme zu infiltrieren, Berechtigungen zu eskalieren und wertvolle Ziele wie Server oder Datenbanken zu erreichen.

Wie funktioniert sie?

Angreifer nutzen Techniken wie das Stehlen von Credentials (Pass-The-Hash, RDP, PowerShell), Schwachstellen-Ausnutzung oder legitime Admin-Tools (Living-off-the-Land), um sich unauffällig von Host zu Host zu bewegen, oft über Wochen unbemerkt. Dies verlängert die Verweildauer (Dwell-Time) und maximiert den Schaden, z.B. vor Ransomware-Aktivierung. Im Kontext unserer vorherigen Diskussion zu KI-Phishing ermöglicht sie systemweite Ausbreitung nach dem ersten Zugriff.

Häufige Techniken

• Pass-the-Ticket/Hash: Wiederverwendung gestohlener Anmeldeinformationen für Seitwärtszugriffe.
• Remote Services: RDP, SMB, WMI für Fernzugriff ohne neue Exploits.
• Privilege Escalation: Von User- zu Admin-Rechten via Kernel-Exploits oder Misconfigurations.

Abgrenzung und Prävention

Im Gegensatz zu vertikaler Bewegung (Tieferes Eindringen in ein System) ist Lateralbewegung horizontal (Zwischen Systemen). Schutzmaßnahmen umfassen Zero-Trust-Architektur, Netzwerksegmentierung (Mikrosegmentierung) und EDR-Tools zur Verhaltensanalyse.