logo

Mouvement latéral : techniques utilisées par les attaquants et meilleures pratiques pour la défense de votre organisation

Introduction

Même si vous avez mis en place un modèle de sécurité Zero Trust pour la protection de votre réseau et de votre infrastructure, vous devriez vous préparer pour l’inévitable : un attaquant pénétrera tôt ou tard au cœur de votre réseau pour y déployer un ransomware ou provoquer d’autres dégâts.

Une attaque type ressemble plus ou moins à cela :

  1. Un acteur de la menace compromet un compte d’utilisateur lors d’une campagne d’hameçonnage, d’une attaque par force brute ou à l’aide d’une autre technique, et accède à un point de terminaison, un dispositif IoT ou tout autre système.
  2. Ensuite, il se déplace latéralement au sein de l’environnement et élève ses privilèges jusqu’à obtenir accès à des ressources informatiques critiques. Cette étape peut durer des semaines, voire des mois, car l’attaquant se déplace pour analyser votre réseau.
  3. Enfin, il extrait vos données sensibles, déploie un ransomware ou tout autre logiciel malveillant, et provoque des dégâts aux systèmes pour entraîner un temps d’indisponibilité.

Contrairement aux idées répandues, les techniques de mouvement latéral ne sont pas limitées uniquement aux réseaux sur site. Une attaque par mouvement latéral peut très bien se produire au cœur d’un environnement en ligne, et les attaquants se déplacer latéralement entre systèmes sur site et dans le cloud.

Il revient au personnel de cybersécurité de détecter les menaces, de contrôler les attaques pour empêcher qu’elles ne se développent, et de nettoyer l’ensemble des systèmes infectés. Pour une défense efficace de votre organisation, vous devez comprendre les techniques utilisées par les acteurs de la menace.

Téléchargez l’e-book :

Attaque simulée de la CISA : amélioration de la détection et de la réponse

Que sont le mouvement latéral et l’élévation de privilèges ?

Les acteurs de la menace s’implantent généralement au cœur d’un réseau en compromettant un compte qui dispose de privilèges d’utilisateur standard. Pour atteindre son objectif, un attaquant doit obtenir des niveaux d’accès et de contrôle plus élevés. C’est pourquoi, lorsqu’il s’introduit dans votre environnement, il commence par effectuer une reconnaissance afin d’identifier les ressources auxquelles il a accès et les comptes qu’il est susceptible de pouvoir compromettre plus tard. Il est possible que l’intrus utilise des outils d’analyse de réseau pour détecter des hôtes actifs, des ports ouverts ou des services en cours d’exécution au sein de la plateforme système ciblée. C’est lors de cette phase de calme avant la tempête qu’une détection précoce et une réponse rapide sont essentielles.

Quelles sont les techniques spécifiques utilisées par les attaquants ?

Voici quelques-unes des techniques les plus courantes utilisées par les attaquants pour se déplacer latéralement et élever leurs privilèges :

  • Reconnaissance LDAP — Les acteurs de la menace peuvent interroger un service d’annuaire en créant une requête LDAP pour recueillir des informations sur les objets et les attributs afin d’identifier les comptes hautement privilégiés et les ressources critiques qu’ils souhaitent contrôler.
  • Attaque Pass-the-hash — Cette technique implique de voler le mot de passe d’un utilisateur bénéficiant de privilèges élevés en écoutant le trafic réseau ou à l’aide d’un logiciel malveillant pour extraire le hachage de mot de passe.
  • Attaque Kerberoasting — Les adversaires peuvent exploiter le protocole d’authentification Kerberos pour s’emparer des informations d’identification d’utilisateurs Active Directory qui ont un nom de principal de service (SPN). Bien souvent, il s’agit de comptes de service qui dispose d’un niveau de privilèges plus élevés que les comptes d’utilisateur normaux.
  • Exploitation des vulnérabilités — Les pirates informatiques exploitent souvent des failles connues dans les systèmes ou les applications pour élever leurs privilèges ou obtenir accès à d’autres systèmes. Ce type d’attaque est possible lorsque les logiciels ne sont pas mis à jour ou que les correctifs de sécurité n’ont pas été installés.
  • Utilisation abusive des systèmes — Des paramètres de configuration faibles des serveurs, des points de terminaison ou de tout autre système permettent aux adversaires de lancer leurs attaques.
  • Exploitation du protocole RDP — Les outils d’administration à distance, par exemple le protocole RDP (Remote Desktop Protocol) de Windows, sont souvent ciblés par les cybercriminels pour se déplacer latéralement au cœur d’un réseau.

Les pirates informatiques font souvent appel à des outils spécialement conçus pour le mouvement latéral, comme Bloodhound, PowerSploit ou Empire, entre autres. Ils servent à mapper le réseau et à identifier des cibles potentielles faciles à exploiter.

Exemples réels

La cyberattaque menée en 2020 contre SolarWinds, une attaque dite « de la chaîne d’approvisionnement », constitue un exemple très médiatisé d’une attaque par mouvement latéral. À l’époque, les acteurs de la menace avaient réussi à accéder à la plateforme de SolarWinds, et avaient installé une porte dérobée dans l’une des mises à jour logicielles. Lorsque les clients installaient cette mise à jour, les attaquants pouvaient obtenir un accès privilégié à leurs réseaux.

Cette même année, Universal Health Services a également subi une attaque par ransomware appelée Ryuk. Cette fois, les auteurs avaient utilisé un e-mail d’hameçonnage qui contenait un cheval de Troie permettant de télécharger le ransomware. Les cybercriminels avaient ensuite utilisé Mimikatz pour voler les informations d’identification de l’administrateur, et ainsi pouvoir se déplacer latéralement sur l’ensemble du réseau.

 

Comment les organisations peuvent-elles se défendre ?

Afin de bloquer tout mouvement latéral au cœur de votre environnement informatique de la part de vos adversaires, vous devriez envisager de mettre en place certaines meilleures pratiques. En voici quelques-unes.

Restreindre les droits d’accès d’administrateur local

L’époque où l’on attribuait des droits d’administrateur local aux utilisateurs standards est révolue. Lorsqu’un compte est compromis, les attaquants en héritent les droits. S’ils n’ont pas de droits d’administrateur local, les attaquants ne seront pas en mesure d’installer du code malveillant.

Mettre en place le principe du moindre privilège

Le principe du moindre privilège (POLP) indique que chaque utilisateur et chaque processus ne doit avoir accès qu’aux ressources du réseau dont il a strictement besoin pour accomplir les tâches qui lui sont assignées, et rien de plus. Sa compréhension initiale a évolué pour inclure un élément temporel : le privilège ne doit exister que tant qu’il est nécessaire pour une tâche donnée.

Bloquer les attaques par ingénierie sociale

Les cybercriminels accèdent souvent à un environnement informatique cible par le biais d’une attaque d’ingénierie sociale au cours de laquelle ils manipulent un utilisateur légitime pour qu’il leur fournisse ses identifiants. La sensibilisation à la sécurité est donc essentielle, car les employés restent encore trop souvent les maillons faibles de la chaîne de sécurité. Des outils de filtrage du courrier électronique et du web permettent également d’atténuer ces types d’attaques.

Protéger les mots de passe

Des mots de passe faibles permettent aux cybercriminels de facilement voler des informations d’identification, grâce notamment à des techniques spécifiques, comme les attaques par pulvérisation de mot de passe. Il existe des outils qui permettent de s’assurer que des normes de complexité conformes aux meilleures pratiques sont exigées pour tous les mots de passe. Ces politiques sont à soutenir par des formations régulières à la cyberhygiène pour tous les utilisateurs. En outre, l’authentification multifacteurs (MFA) doit être appliquée à tous les comptes à privilèges élevés.

Remplacer les comptes à privilèges permanents par un accès juste à temps et surveiller l’activité

Laisser un pirate informatique obtenir des droits d’administrateur, c’est lui donner les clés du royaume. La mise en œuvre d’une stratégie solide de gestion des accès privilégiés (PAM) est essentielle pour protéger les comptes à privilèges contre la compromission. La solution de gestion des accès privilégiés offerte par Netwrix en est un bon exemple : elle vous permet d’identifier les comptes à privilèges au sein de votre parc informatique, et de réduire la surface d’attaque en les remplaçant par un accès juste à temps limité à l’accomplissement de tâches spécifiques. En outre, cette technologie procure une visibilité sur les activités des utilisateurs à privilèges au sein de votre environnement informatique, et vous prévient en cas de comportement suspect.

Conclusion

Les mouvements latéraux représentent une technique courante des attaquants. Veillez donc à mettre en œuvre les stratégies et les techniques appropriées, et à utiliser les outils adéquats pour isoler et contenir les actions des utilisateurs malveillants.