Movimento Lateral
O que é Movimento Lateral?
Movimento LateralTática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente.
Movimento Lateral (tática MITRE ATT&CK TA0008) agrupa as técnicas com que o adversário expande o seu foothold, movendo-se do host inicial para outros sistemas, contas ou tenants cloud. Inclui pass-the-hash, pass-the-ticket, overpass-the-hash, sequestro de sessões RDP e SSH, exploração de serviços remotos (SMB, WinRM, WMI, PsExec), uso de ferramentas como o Cobalt Strike e reutilização de tokens OAuth ou SAML válidos contra APIs cloud. É frequentemente a fase mais ruidosa de uma intrusão em termos de telemetria, por atravessar fronteiras entre hosts. Os defensores apoiam-se em segmentação de rede, camadas de identidade, administração just-in-time, MFA em protocolos remotos, correlação EDR entre hosts e deteções Sigma/MDE para pivots SMB e RPC.
● Exemplos
- 01
Usar pass-the-hash com um hash NTLM capturado para autenticar num servidor de ficheiros.
- 02
Roubar um cookie de sessão RDP para saltar de um posto de trabalho para um jump box.
● Perguntas frequentes
O que é Movimento Lateral?
Tática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Movimento Lateral?
Tática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente.
Como funciona Movimento Lateral?
Movimento Lateral (tática MITRE ATT&CK TA0008) agrupa as técnicas com que o adversário expande o seu foothold, movendo-se do host inicial para outros sistemas, contas ou tenants cloud. Inclui pass-the-hash, pass-the-ticket, overpass-the-hash, sequestro de sessões RDP e SSH, exploração de serviços remotos (SMB, WinRM, WMI, PsExec), uso de ferramentas como o Cobalt Strike e reutilização de tokens OAuth ou SAML válidos contra APIs cloud. É frequentemente a fase mais ruidosa de uma intrusão em termos de telemetria, por atravessar fronteiras entre hosts. Os defensores apoiam-se em segmentação de rede, camadas de identidade, administração just-in-time, MFA em protocolos remotos, correlação EDR entre hosts e deteções Sigma/MDE para pivots SMB e RPC.
Como se defender contra Movimento Lateral?
As defesas contra Movimento Lateral costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Movimento Lateral?
Nomes alternativos comuns: Pivoting, Movimento interno.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 229
Acesso a Credenciais
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacao de adversarios amplamente usada em operacoes de red team e frequentemente abusada por atacantes para pos-exploracao e comando e controle.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- defense-ops№ 325
Descoberta (Tática MITRE)
Tática MITRE ATT&CK (TA0007) que reúne técnicas usadas para conhecer o ambiente comprometido depois de o atacante obter acesso.
- network-security№ 723
Segmentação de rede
Prática de dividir a rede em várias zonas com tráfego controlado entre elas, para conter violações e aplicar o menor privilégio.
● Veja também
- № 107BloodHound
- № 790Pass-the-Hash
- № 1088Encaminhamento de agente SSH
- № 293Tecnologia de engano