Horisontal hacking: Pas på pass-the-hash

Center for Cybersikkerhed ser ofte, at adgang til horisontal bevægelse i it-infrastrukturen udnyttes af hackere.
16. november, 2018 - Kl. 15.00
[Oprindeligt publiceret af Center for Cybersikkerhed]

Center for Cybersikkerhed ser ofte, at adgang til horisontal bevægelse i it-infrastrukturen udnyttes af hackere til at etablere overblik og erhverve rettigheder i forbindelse med et hackerangreb.

Virksomheder og organisationer, der er ofre for hackerangreb, kan dog gøre det meget vanskeligere for hackeren at opnå denne horisontale bevægelse, hvilket i sidste ende kan medvirke til at mindske de negative konsekvenser for ofret. 

Den horisontale bevægelse opnås ved, at hackeren erhverver sig passwords til andre brugerkonti på baggrund af adgang til én brugerkonto. Det sker typisk med det formål at opnå privilegerede rettigheder, så hackeren kan etablere vedvarende adgang til systemet eller skaffe sig adgang til andre dele af ofrets netværk. De simple metoder til at beskytte sig mod horisontal bevægelse mellem adgangskonti er:


  • Rettighedsstyring, så færrest mulig brugere har privilegerede rettigheder.
  • Segmentering af netværk med forskellige rettighedsgrupper, så privilegerede rettigheder kun kan anvendes i en del af netværket.  
  • Overvågning af systemet, så brug af privilegerede konti logges og kontrolleres, hvorved atypisk brug opdages og evt. stoppes. 

Ofte opnås adgangen til privilegerede konti ved at anvende specialudviklede værktøjer (tools). Eksempelvis er det offentligt tilgængelige værktøj Mimikatz i stand til at erhverve passwords fra hukommelsen på en maskine ved en metode, der kendes som pass the hash. Man kan med fordel sikre, at særligt privilegerede brugerkonti kun kan tilgås fra specifikke maskiner.

Hvad enten et hackerangreb har til formål at plante ransomware, stjæle data eller afstedkomme nedbrud, har hackeren et behov for at tilegne sig særlige rettigheder. Et eksempel på dette er NotPetya-angrebet, der bl.a. ramte Mærsk i 2017, og som anvendte pass the hash til at sprede sig i det kompromitterede netværk.

Det britiske Nationale Center for Cybersikkerhed har udarbejdet en konkret og anvendelig vejledning om modvirkning af horisontal bevægelse i it-infrastrukturen. Center for Cybersikkerhed anbefaler, at virksomheder og organisationer orienterer sig i den vejledning i tillæg til de ovenstående kortfattede råd. Den britiske vejledning kan findes her:

Guidance: Preventing Lateral Movement