Mouvement latéral
Qu'est-ce que Mouvement latéral ?
Mouvement latéralTactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
Le mouvement latéral (tactique MITRE ATT&CK TA0008) regroupe les techniques utilisées pour étendre le foothold initial vers d'autres systèmes, comptes ou tenants cloud. On y trouve pass-the-hash, pass-the-ticket, overpass-the-hash, le détournement de sessions RDP et SSH, l'exploitation de services distants (SMB, WinRM, WMI, PsExec), l'usage d'outils comme Cobalt Strike, et le rejeu de jetons OAuth ou SAML valides contre des API cloud. C'est souvent la phase la plus bruyante d'une intrusion en termes de télémétrie car elle franchit les frontières entre hôtes. Les défenseurs s'appuient sur la segmentation, la hiérarchisation des identités, l'administration Just-In-Time, la MFA sur les protocoles distants, la corrélation EDR inter-hôtes et des détections Sigma/MDE sur SMB et RPC.
● Exemples
- 01
Utiliser pass-the-hash avec un hash NTLM capturé pour s'authentifier sur un serveur de fichiers.
- 02
Voler un cookie de session RDP pour passer d'un poste à une jump box.
● Questions fréquentes
Qu'est-ce que Mouvement latéral ?
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Mouvement latéral ?
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
Comment fonctionne Mouvement latéral ?
Le mouvement latéral (tactique MITRE ATT&CK TA0008) regroupe les techniques utilisées pour étendre le foothold initial vers d'autres systèmes, comptes ou tenants cloud. On y trouve pass-the-hash, pass-the-ticket, overpass-the-hash, le détournement de sessions RDP et SSH, l'exploitation de services distants (SMB, WinRM, WMI, PsExec), l'usage d'outils comme Cobalt Strike, et le rejeu de jetons OAuth ou SAML valides contre des API cloud. C'est souvent la phase la plus bruyante d'une intrusion en termes de télémétrie car elle franchit les frontières entre hôtes. Les défenseurs s'appuient sur la segmentation, la hiérarchisation des identités, l'administration Just-In-Time, la MFA sur les protocoles distants, la corrélation EDR inter-hôtes et des détections Sigma/MDE sur SMB et RPC.
Comment se défendre contre Mouvement latéral ?
Les défenses contre Mouvement latéral combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Mouvement latéral ?
Noms alternatifs courants : Pivot, Déplacement latéral.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 229
Accès aux identifiants
Tactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
- defense-ops№ 193
Cobalt Strike
Plateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- defense-ops№ 325
Découverte (tactique MITRE)
Tactique MITRE ATT&CK (TA0007) couvrant les techniques utilisées par l'attaquant pour cartographier l'environnement compromis après son intrusion.
- network-security№ 723
Segmentation réseau
Pratique consistant à découper un réseau en plusieurs zones, avec un trafic contrôlé entre elles, afin de contenir les compromissions et d'appliquer le moindre privilège.
● Voir aussi
- № 107BloodHound
- № 790Pass-the-Hash
- № 1088Forwarding d'agent SSH
- № 293Technologie de tromperie