Lateral Movement in Cybersecurity -साइबर सुरक्षा में लेटरल मूवमेंट क्या है?

लेटरल मूवमेंट एक ऐसी तकनीक है जिसका उपयोग धमकी देने वाले कलाकार लक्ष्य नेटवर्क के भीतर अपनी पहुंच बढ़ाने के लिए करते हैं। साइबर हमले के इस चरण के दौरान, घुसपैठिया नेटवर्क का पता लगाने के लिए किसी की समझौता की गई साख का उपयोग करेगा, और एक्सेस विशेषाधिकारों को बढ़ाने के तरीकों की तलाश करेगा जब तक कि उनके पास अपने हमले को पूरा करने के लिए आवश्यक उपयोगकर्ता अधिकार न हों।

दुर्भावनापूर्ण पार्श्व गतिविधि का पता लगाना मुश्किल हो सकता है क्योंकि धमकी देने वाला अभिनेता नेटवर्क के माध्यम से आगे बढ़ने के लिए वैध उपयोगकर्ता क्रेडेंशियल्स और मूल नेटवर्क टूल का उपयोग कर रहा है। यदि घुसपैठिया सावधान है और विशेषाधिकारों को क्रमिक रूप से बढ़ाता है, तो उनकी गतिविधि सामान्य उपयोगकर्ता व्यवहार के साथ मिश्रित हो जाएगी और लाल झंडे नहीं उठाएगी।

पार्श्व आंदोलन का उद्देश्य

पार्श्व आंदोलन का प्राथमिक उद्देश्य बिना पता लगाए उच्च-मूल्य वाले लक्ष्यों का पता लगाना है। इस तकनीक का उपयोग आम तौर पर हमलावर द्वारा अपने लक्ष्य तक प्रारंभिक पहुंच प्राप्त करने के तुरंत बाद किया जाता है, लेकिन पार्श्व आंदोलन का उपयोग किसी भी समय किया जा सकता है जब हमलावर उस नेटवर्क के बारे में अधिक जानना चाहता है जिसके साथ उन्होंने सफलतापूर्वक समझौता किया है।

 

जैसे ही वे पार्श्व में आगे बढ़ते हैं, हमलावर कई पिछले दरवाजे और अनावश्यक पहुंच बिंदु बना सकता है जिससे सुरक्षा घटना और इवेंट प्रबंधन (एसआईईएम) सॉफ़्टवेयर के लिए उनका पता लगाना और उन्हें ब्लॉक करना अधिक कठिन हो जाता है। यह अतिरेक हमलावर को लगातार पहुंच प्रदान करता है। यह सुनिश्चित करता है कि यदि एक समझौता किए गए खाते की खोज की जाती है और उसे सुरक्षित किया जाता है, तो भी वे नेटवर्क तक दूसरे तरीके से पहुंच सकेंगे।

जब वे बिना पहचाने अपने लक्ष्य की खोज कर रहे होते हैं, तो हमलावर इस समय का उपयोग यह निर्धारित करने के लिए भी कर सकता है कि उसे अपने हमले के उद्देश्य को प्राप्त करने के लिए क्या चाहिए। उदाहरण के लिए, वे एक एन्क्रिप्टेड सुरंग स्थापित करने के लिए वीपीएन ऐप का उपयोग कर सकते हैं जो उन्हें बिना पता लगाए डेटा को बाहर निकालने की अनुमति देगा, या वे हमले के उद्देश्य के आधार पर फिरौती के लिए डेटा एन्क्रिप्ट कर सकते हैं या महत्वपूर्ण नेटवर्क बुनियादी ढांचे को नुकसान पहुंचा सकते हैं।

उन्नत लगातार खतरों में पार्श्व आंदोलन एक महत्वपूर्ण भूमिका निभाता है। एपीटी परिष्कृत, दीर्घकालिक साइबर हमले हैं जिसमें घुसपैठिया एक नेटवर्क के भीतर पैर जमा लेता है और लंबे समय तक अज्ञात रहता है।

लेटरल मूवमेंट कैसे काम करता है?

सफल पार्श्व आंदोलन के लिए तकनीकी कौशल और लक्ष्य वातावरण के ज्ञान के संयोजन की आवश्यकता होती है।

दुर्भावनापूर्ण अभिनेता अक्सर वैध उपयोगकर्ता की साख प्राप्त करने के लिए फ़िशिंग या व्यावसायिक ईमेल समझौता (बीईसी) शोषण के साथ साइबर हमला शुरू कर देंगे। आदर्श रूप से, धमकी देने वाले अभिनेता प्रशासनिक विशेषाधिकार वाले खाते से समझौता करके शुरुआत करना चाहते हैं, लेकिन चूंकि यह हमेशा संभव नहीं होता है, इसलिए वे वैध क्रेडेंशियल्स वाले किसी भी खाते से समझौता करने के तरीकों की तलाश करेंगे।

 

एक बार जब वे अंदर आ जाते हैं, तो घुसपैठिया समझौता किए गए खाते के एक्सेस विशेषाधिकारों को निर्धारित करने के लिए whoami या किसी अन्य माध्यम का उपयोग कर सकता है। यह ज्ञान उन्हें नेटवर्क का पार्श्व रूप से पता लगाने और अन्य खातों, नेटवर्क कमजोरियों, या समझौता करने वाली मशीनों को खोजने की अनुमति देगा।

आमतौर पर, हमले के इस चरण में अप्रकाशित सॉफ्टवेयर, ज्ञात सुरक्षा खामियां, नेटवर्क सेवाओं और सॉफ्टवेयर अनुप्रयोगों में सामान्य गलत कॉन्फ़िगरेशन, कमजोर सिस्टम सेटिंग्स और अन्य सुरक्षा अंतराल की तलाश शामिल होती है जिनका उपयोग विशेषाधिकारों को बढ़ाने के लिए सुरक्षा उल्लंघन में किया जा सकता है।

विशेषाधिकार बढ़ाने की लोकप्रिय रणनीतियों में शामिल हैं:

दुर्भावनापूर्ण डीएलएल को साइडलोड करना: इस रणनीति में एक दुर्भावनापूर्ण डीएलएल फ़ाइल को ऐसे स्थान पर रखना शामिल है जहां एक सॉफ़्टवेयर एप्लिकेशन एक वैध डीएलएल ढूंढने की उम्मीद करता है। जब तक ऐप वैध है, तब तक संभवतः एंटीवायरस सॉफ़्टवेयर द्वारा दुर्भावनापूर्ण गतिविधि पर ध्यान नहीं दिया जाएगा। जब डीएलएल को एप्लिकेशन द्वारा साइडलोड किया जाता है, तो यह एप्लिकेशन के समान विशेषाधिकारों के साथ चलेगा। यदि एप्लिकेशन के पास प्रशासनिक अधिकार हैं, तो दुर्भावनापूर्ण DLL के पास भी वे अधिकार होंगे।

पास-द-हैश (पीटीएच): यह तकनीक उस तरीके का लाभ उठाती है जिससे कुछ ऑपरेटिंग सिस्टम (ओएस) उपयोगकर्ता क्रेडेंशियल्स को हैश, स्टोर और प्रमाणित करते हैं। यदि प्रमाणीकरण पास-द-हैश तकनीकों का उपयोग करके किया जाता है, तो हमलावर संभावित रूप से एक विशेषाधिकार प्राप्त उपयोगकर्ता से संबंधित हैश को कैप्चर कर सकता है और उसके साथ लॉग इन कर सकता है।

रिमोट एक्ज़ीक्यूशन टूल का उपयोग करना: हमलावर कमांड निष्पादित करने के लिए रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) का दुरुपयोग कर सकते हैं जो उन्हें अतिरिक्त कमजोरियों को देखने की अनुमति देता है। क्योंकि यह प्रोटोकॉल अक्सर सिस्टम प्रशासकों द्वारा उपयोग किया जाता है, वैध क्रेडेंशियल्स से समझौता करने वाले हमलावर द्वारा इसका उपयोग लाल झंडा उठाने की संभावना नहीं है। 

 

पार्श्व गति को रोकना

पार्श्व आंदोलन का पता लगाना और उसका जवाब देना चुनौतीपूर्ण हो सकता है क्योंकि यदि हमलावर सावधान है, तो उनकी गतिविधि वैध उपयोगकर्ता व्यवहार के रूप में दिखाई देगी, क्योंकि वे वैध क्रेडेंशियल और सिस्टम टूल का उपयोग कर रहे हैं। अनधिकृत पार्श्व आंदोलन के प्रभाव को कम करने की प्रमुख रणनीतियों में निम्नलिखित शामिल हैं:

• हमले की सतह को सीमित करने और नेटवर्क पर स्वतंत्र रूप से घूमने की हमलावर की क्षमता को धीमा करने के लिए नेटवर्क को अलग-अलग क्षेत्रों में अलग करें।
• सुरक्षा नियंत्रण लागू करें जो न्यूनतम विशेषाधिकार (पीओएलपी) के सिद्धांत को लागू करते हैं और बहु-कारक प्रमाणीकरण (एमएफए) की आवश्यकता होती है।
• जीरो ट्रस्ट की संस्कृति को बढ़ावा दें।
• न्यूनतम विशेषाधिकार का सिद्धांत (पीओएलपी) लागू करें
• एआई-समर्थित विसंगति पहचान प्रणाली लागू करें जो असामान्य व्यवहार पैटर्न का पता लगा सके।
• सभी सिस्टम और सॉफ़्टवेयर को दुरुस्त और अद्यतन रखें।
• क्रेडेंशियल समझौता के जोखिम को कम करने के लिए कर्मचारियों को सुरक्षा सर्वोत्तम प्रथाओं के बारे में शिक्षित करें।