• Lateral Movement – jak atakujący poruszają się po sieci po pierwszym włamaniu
    Cyberbezpieczeństwo Hacking

    Lateral Movement – jak atakujący poruszają się po sieci po pierwszym włamaniu

    Marek „Netbe” Lampart Opublikowane w

    🔄 Lateral Movement – jak atakujący poruszają się po sieci po pierwszym włamaniu

    Uzyskanie pierwszego dostępu do jednego komputera rzadko jest celem samym w sobie. Dla atakującego to dopiero początek.
    Prawdziwa gra zaczyna się w momencie lateral movement – czyli ruchu bocznego w sieci, który pozwala przejąć kolejne systemy, konta i finalnie kluczowe zasoby organizacji.

    To właśnie na tym etapie:

    • ataki stają się trudne do wykrycia,
    • ransomware rozprzestrzenia się błyskawicznie,
    • przejmowane są konta uprzywilejowane.

    🧠 Czym jest lateral movement?

    Lateral movement to zestaw technik umożliwiających:

    • przemieszczanie się między systemami,
    • wykorzystanie istniejących poświadczeń,
    • eskalację dostępu do serwerów, Active Directory i danych.

    Atakujący nie exploitują podatności – korzystają z legalnych mechanizmów administracyjnych.

    📌 MITRE ATT&CK:
    TA0008 – Lateral Movement

    🔧 Najczęściej wykorzystywane protokoły i narzędzia

    📁 SMB (Server Message Block)

    Jak działa atak?

    • wykorzystanie skradzionych hashy (Pass-the-Hash),
    • dostęp do udziałów administracyjnych (C$, ADMIN$),
    • zdalne wykonywanie poleceń.

    Typowe ślady w logach

    • logowania typu 3
    • Event ID 4624 z nietypowych źródeł
    • dostęp do ADMIN$
    Czytaj  Ewolucja technik spamowych i walka z nimi: Jak cyberprzestępcy udoskonalają swoje metody i jak się przed nimi bronić

     

    Lateral Movement – jak atakujący poruszają się po sieci po pierwszym włamaniu
    Lateral Movement – jak atakujący poruszają się po sieci po pierwszym włamaniu

    🖥️ RDP (Remote Desktop Protocol)

    Jak wygląda atak?

    • logowanie przy użyciu przejętych kont,
    • brute force w sieci wewnętrznej,
    • pivoting przez RDP.

    Logi i symptomy

    • Event ID 4624 / 4672
    • nietypowe godziny logowania
    • sesje adminów z komputerów użytkowników

    ⚙️ WinRM / PowerShell Remoting

    Dlaczego atakujący to lubią?

    • działa domyślnie w domenach,
    • idealne do „fileless attacks”,
    • trudne do odróżnienia od legalnej administracji.

    Ślady

    • PowerShell Operational log
    • Event ID 4104
    • podejrzane komendy Invoke-Command

    🧨 PSExec i narzędzia typu LOLBins

    Charakterystyka

    • legalne narzędzie Microsoft Sysinternals,
    • często niewykrywane przez AV,
    • wykorzystywane do masowego ruchu bocznego.

    Logi

    • tworzenie usług tymczasowych
    • Event ID 7045
    • nagłe uruchomienia cmd.exe / powershell.exe

    📊 Jak wygląda lateral movement w logach?

    🔍 Charakterystyczne wzorce

    • wiele logowań do różnych hostów w krótkim czasie
    • logowania z konta użytkownika do serwerów
    • użycie jednego konta na wielu systemach
    • dostęp do ADMIN$ bez interakcji użytkownika

    📌 Kluczowe Event ID (Windows)

    • 4624 – logowanie
    • 4672 – specjalne uprawnienia
    • 4648 – logowanie z użyciem poświadczeń
    • 4768 / 4769 – Kerberos
    • 7045 – nowa usługa

    🛡️ Jak wykrywać i ograniczać ruch boczny?

    🔒 Ograniczanie (prewencja)

    • segmentacja sieci
    • blokada NTLM
    • LAPS / gMSA
    • brak logowania adminów na stacjach roboczych
    • model Tiered Administration

    👁️ Detekcja

    • SIEM z korelacją logów
    • EDR/XDR (telemetria procesów)
    • alerty na:
      • logowania adminów z nietypowych hostów
      • użycie PSExec
      • dostęp do ADMIN$

    🧪 Testowanie

    • Purple Team
    • symulacje ransomware
    • testy Pass-the-Hash

    ⚠️ Dlaczego lateral movement jest tak groźny?

    • wykorzystuje legalne mechanizmy
    • generuje mało alarmów
    • często trwa dni lub tygodnie
    • prowadzi bezpośrednio do przejęcia AD

    ✅ Najważniejsze wnioski

    • Lateral movement to kluczowy etap ataku
    • Najczęściej nie wymaga exploitów
    • Logi Windows zawierają sygnały – trzeba je korelować
    • Segmentacja i monitoring to fundament obrony
    Czytaj  Najnowsze exploity i bugi zagrażające cyberbezpieczeństwu 2024

     

    Polecane wpisy
    Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket

    🎯 Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket 🧠 Czym jest Kerberos? Kerberos to protokół uwierzytelniania używany Czytaj dalej

    Pass-the-Hash (PtH) – ataki bez znajomości haseł
    Pass-the-Hash (PtH) – ataki bez znajomości haseł

    🔓 Pass-the-Hash (PtH) – ataki bez znajomości haseł 🧠 Czym jest atak Pass-the-Hash? Pass-the-Hash to technika ataku umożliwiająca przejęcie kontroli Czytaj dalej

    Powiązane wpisy:

    1. Kill Chain cyberataku – jak wygląda atak krok po kroku od rekonesansu do eksfiltracji danych
    2. Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    3. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    4. Ataki na Active Directory – najczęstsze techniki przejęcia domeny
    5. Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również