Ein Angreifer hat auf einem Host Fuß gefasst. Nach welchen Anzeichen von Lateral Movement würden Sie jagen?
Kurzantwort
Lateral Movement bedeutet, dass ein Angreifer einen Fußabdruck nutzt, um andere Systeme zu erreichen. Anzeichen sind unerwartete Netzwerk-Logons (Typ 3) und RDP (Typ 10), Zugriff auf Admin-Shares wie C$ und ADMIN$, Remote-Ausführungstools wie PsExec, WMI und WinRM, Pass-the-Hash-Muster und ein normalerweise lokales Konto, das sich plötzlich an vielen Hosts authentifiziert.
Sobald ein Angreifer eine Maschine hat, kommt der eigentliche Schaden von der Ausbreitung auf andere — hin zu Domänencontrollern, Dateiservern und den wertvollsten Daten. Lateral Movement zu erkennen ist hochwertige SOC-Arbeit, weshalb dies eine Senior-Frage ist. Die starke Antwort benennt konkrete, beobachtbare Signale.
Authentifizierungsmuster
Die klarsten Signale liegen in den Logons. Achten Sie auf Netzwerk-Logons (Typ 3) und RDP (Typ 10) zu Hosts, die ein Benutzer normalerweise nie berührt, und besonders auf ein Konto, das sich an vielen Maschinen in einem kurzen Fenster authentifiziert. Ein lokales oder Dienstkonto, das sich plötzlich breit ausdehnt, ist ein klassisches Anzeichen. Schübe von Kerberos- oder NTLM-Aktivität aus einer ungewöhnlichen Quelle zählen ebenfalls.
Remote-Ausführungstools
Angreifer bewegen sich über eingebaute Remote-Ausführungsmechanismen: PsExec (erstellt einen Dienst auf dem Ziel), WMI (wmic/Win32_Process) und WinRM/PowerShell Remoting. In den Logs erscheinen diese als Remote-Diensterstellung (Event 7045 / 4697), verdächtige 4688-Prozessbäume und WinRM-Verbindungen. Die Living-off-the-Land-Nutzung von Admin-Tools ist bewusst — sie fügt sich ein.
Credential-Missbrauch
Pass-the-Hash und Pass-the-Ticket erlauben einem Angreifer, sich mit gestohlenem Credential-Material ohne das Klartextpasswort zu authentifizieren, sodass Sie erfolgreiche Logons ohne entsprechende interaktive Credential-Eingabe sehen können. Das Dumpen von LSASS auf dem Quell-Host ist ein vorgelagertes Signal, das es zu korrelieren lohnt.
Zugriff auf Shares und Ressourcen
Verbindungen zu administrativen Shares (C$, ADMIN$, IPC$) aus unerwarteten Quellen gehen oft der Remote-Ausführung und dem Staging von Dateien voraus.
Durch Korrelation detektieren
Kein einzelnes Ereignis beweist Lateral Movement; Sie korrelieren Logon-Typ, Quelle/Ziel, Konto und das nachfolgende Tooling. Diese auf ATT&CKs Lateral-Movement-Taktik abzubilden hilft, die Jagd zu strukturieren.
Warum das wichtig ist
Die Bewegung zwischen dem anfänglichen Fußabdruck und dem Ziel abzufangen, begrenzt den Schadensradius. Ein Analyst, der diese Signale konkret beschreiben kann, zeigt, dass er einen aktiven Eindringling jagen kann und nicht nur einen einzelnen Alert liest.
Wahrscheinliche Anschlussfragen
- Wie funktioniert Pass-the-Hash und was macht es schwer aufzuspüren?
- Auf welche Windows-Event-IDs und Logon-Typen würden Sie pivotieren?
- Warum sind Dienstkonten ein beliebtes Ziel für Lateral Movement?