Когда мы говорили про разные атаки и про то, как атакующий может зайти на периметре, мы упоминали, что на этом всё не заканчивается. Получить первую точку входа — это только начало. Дальше у злоумышленника возникает задача: как из этой точки добраться до чего-то более ценного. И вот тут начинается так называемый пивотинг.
Если объяснить совсем просто, пивотинг — это использование взломанной машины как трамплина. Представь, что атакующий оказался внутри здания, но нужная комната находится в другом крыле. Он не может туда пройти напрямую, но может открыть внутренние двери через ту комнату, в которую уже попал. В ИБ это выглядит так же: попал на один хост — и начинаешь через него перемещаться к другим.
Есть разные способы, как это делают. Иногда злоумышленники поднимают туннель или прокси и начинают смотреть, какие ещё подсети стали доступны. Иногда используют учётные записи, которые нашли на первом хосте, и заходят под ними на соседние машины. Иногда работают через доверенные сервисы, когда одно приложение имеет права сходить к другому, и атакующий этим пользуется. В облаке это тоже встречается: украденный токен или ключ может позволить перейти из одного аккаунта в другой через связку сетей или сервисов.
Почему это важно? Потому что именно за счёт пивотинга атакующий двигается к целевым системам. Первичный доступ может быть на каком-нибудь «несерьёзном» сервере, но через него можно добраться до базы данных, контроллера домена или платёжной системы. И если на периметре мы ещё худо-бедно учимся замечать атаки, то внутри сети такие движения часто остаются незаметными — это ведь вроде «свой» хост общается с другими.
Замечать пивотинг непросто, но есть признаки. Например, если машина, которая раньше почти ни с кем не общалась, вдруг начала активно соединяться с разными подсетями. Или если видно, что одна учётная запись подряд пытается входить на кучу разных хостов. Или когда сервис, который обычно работает по расписанию, вдруг делает неожиданные запросы в другое приложение. Всё это должно вызывать вопросы.
Защититься на сто процентов, конечно, нельзя, но можно сильно усложнить задачу. Сегментировать сеть так, чтобы даже внутри было «сложно переходить из комнаты в комнату». Давать сервисам и пользователям только минимально нужные права, а не «админ везде». Следить за трафиком внутри сети, а не только на границе. Использовать EDR и NDR, чтобы видеть не только сам факт соединений, но и поведение процессов. Ну и, конечно, следить за тем, как используются привилегированные учётки — именно они чаще всего становятся ключом к перемещениям.
Если резюмировать, пивотинг — это не отдельная атака, а логичный шаг после того, как злоумышленник уже оказался внутри. И именно на этом шаге он превращает небольшой успех на периферии в полный контроль над инфраструктурой. Поэтому для нас важно учиться распознавать такие движения и не давать им пройти незаметно.
Добавить комментарий