🔄 Lateral Movement – jak atakujący poruszają się po sieci po pierwszym włamaniu

Uzyskanie pierwszego dostępu do jednego komputera rzadko jest celem samym w sobie. Dla atakującego to dopiero początek.
Prawdziwa gra zaczyna się w momencie lateral movement – czyli ruchu bocznego w sieci, który pozwala przejąć kolejne systemy, konta i finalnie kluczowe zasoby organizacji.

To właśnie na tym etapie:

• ataki stają się trudne do wykrycia,
• ransomware rozprzestrzenia się błyskawicznie,
• przejmowane są konta uprzywilejowane.

🧠 Czym jest lateral movement?

Lateral movement to zestaw technik umożliwiających:

• przemieszczanie się między systemami,
• wykorzystanie istniejących poświadczeń,
• eskalację dostępu do serwerów, Active Directory i danych.

Atakujący nie exploitują podatności – korzystają z legalnych mechanizmów administracyjnych.

📌 MITRE ATT&CK:
TA0008 – Lateral Movement

🔧 Najczęściej wykorzystywane protokoły i narzędzia

📁 SMB (Server Message Block)

Jak działa atak?

• wykorzystanie skradzionych hashy (Pass-the-Hash),
• dostęp do udziałów administracyjnych (C$, ADMIN$),
• zdalne wykonywanie poleceń.

Typowe ślady w logach

• logowania typu 3
• Event ID 4624 z nietypowych źródeł
• dostęp do ADMIN$

🖥️ RDP (Remote Desktop Protocol)

Jak wygląda atak?

• logowanie przy użyciu przejętych kont,
• brute force w sieci wewnętrznej,
• pivoting przez RDP.

Logi i symptomy

• Event ID 4624 / 4672
• nietypowe godziny logowania
• sesje adminów z komputerów użytkowników

⚙️ WinRM / PowerShell Remoting

Dlaczego atakujący to lubią?

• działa domyślnie w domenach,
• idealne do „fileless attacks”,
• trudne do odróżnienia od legalnej administracji.

Ślady

• PowerShell Operational log
• Event ID 4104
• podejrzane komendy Invoke-Command

🧨 PSExec i narzędzia typu LOLBins

Charakterystyka

• legalne narzędzie Microsoft Sysinternals,
• często niewykrywane przez AV,
• wykorzystywane do masowego ruchu bocznego.

Logi

• tworzenie usług tymczasowych
• Event ID 7045
• nagłe uruchomienia cmd.exe / powershell.exe

📊 Jak wygląda lateral movement w logach?

🔍 Charakterystyczne wzorce

• wiele logowań do różnych hostów w krótkim czasie
• logowania z konta użytkownika do serwerów
• użycie jednego konta na wielu systemach
• dostęp do ADMIN$ bez interakcji użytkownika

📌 Kluczowe Event ID (Windows)

• 4624 – logowanie
• 4672 – specjalne uprawnienia
• 4648 – logowanie z użyciem poświadczeń
• 4768 / 4769 – Kerberos
• 7045 – nowa usługa

🛡️ Jak wykrywać i ograniczać ruch boczny?

🔒 Ograniczanie (prewencja)

• segmentacja sieci
• blokada NTLM
• LAPS / gMSA
• brak logowania adminów na stacjach roboczych
• model Tiered Administration

👁️ Detekcja

• SIEM z korelacją logów
• EDR/XDR (telemetria procesów)
• alerty na:
  • logowania adminów z nietypowych hostów
  • użycie PSExec
  • dostęp do ADMIN$

🧪 Testowanie

• Purple Team
• symulacje ransomware
• testy Pass-the-Hash

⚠️ Dlaczego lateral movement jest tak groźny?

• wykorzystuje legalne mechanizmy
• generuje mało alarmów
• często trwa dni lub tygodnie
• prowadzi bezpośrednio do przejęcia AD

✅ Najważniejsze wnioski

• Lateral movement to kluczowy etap ataku
• Najczęściej nie wymaga exploitów
• Logi Windows zawierają sygnały – trzeba je korelować
• Segmentacja i monitoring to fundament obrony

Polecane wpisy

Konfiguracja zdalnego dostępu do platform wirtualizacyjnych

Konfiguracja zdalnego dostępu do platform wirtualizacyjnych W dobie dynamicznego rozwoju technologii wirtualizacja stała się fundamentem nowoczesnych centrów danych i środowisk Czytaj dalej

Cyberbezpieczeństwo

Cyberbezpieczeństwo odnosi się do działań podejmowanych w celu ochrony systemów komputerowych, sieci, danych i urządzeń przed zagrożeniami cybersprawców. Wraz z Czytaj dalej