Латеральное перемещение (Lateral Movement)
Что такое Латеральное перемещение (Lateral Movement)?
Латеральное перемещение (Lateral Movement)Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
Латеральное перемещение (тактика MITRE ATT&CK TA0008) объединяет техники, которыми противник расширяет своё присутствие, переходя с исходного хоста на другие системы, учётные записи или облачные тенанты. Сюда относятся pass-the-hash, pass-the-ticket, overpass-the-hash, перехват RDP- и SSH-сессий, эксплуатация удалённых сервисов (SMB, WinRM, WMI, PsExec), инструменты вроде Cobalt Strike и переигрывание валидных OAuth- и SAML-токенов против облачных API. Из-за пересечения границ хостов это часто самый «шумный» этап в телеметрии. Защитники используют сегментацию сети, многоуровневые модели идентификаций, just-in-time-администрирование, MFA для удалённых протоколов, корреляцию EDR между хостами и Sigma/MDE-детектирование SMB- и RPC-пивотов.
● Примеры
- 01
Использование pass-the-hash с захваченным NTLM-хэшем для аутентификации на файловом сервере.
- 02
Кража cookie RDP-сессии, чтобы перейти с рабочей станции на jump box.
● Частые вопросы
Что такое Латеральное перемещение (Lateral Movement)?
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде. Относится к категории Защита и операции в кибербезопасности.
Что означает Латеральное перемещение (Lateral Movement)?
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
Как работает Латеральное перемещение (Lateral Movement)?
Латеральное перемещение (тактика MITRE ATT&CK TA0008) объединяет техники, которыми противник расширяет своё присутствие, переходя с исходного хоста на другие системы, учётные записи или облачные тенанты. Сюда относятся pass-the-hash, pass-the-ticket, overpass-the-hash, перехват RDP- и SSH-сессий, эксплуатация удалённых сервисов (SMB, WinRM, WMI, PsExec), инструменты вроде Cobalt Strike и переигрывание валидных OAuth- и SAML-токенов против облачных API. Из-за пересечения границ хостов это часто самый «шумный» этап в телеметрии. Защитники используют сегментацию сети, многоуровневые модели идентификаций, just-in-time-администрирование, MFA для удалённых протоколов, корреляцию EDR между хостами и Sigma/MDE-детектирование SMB- и RPC-пивотов.
Как защититься от Латеральное перемещение (Lateral Movement)?
Защита от Латеральное перемещение (Lateral Movement) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Латеральное перемещение (Lateral Movement)?
Распространённые альтернативные названия: Пивотинг, Боковое перемещение.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 229
Доступ к учётным данным (Credential Access)
Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
- defense-ops№ 193
Cobalt Strike
Коммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- defense-ops№ 325
Discovery (тактика MITRE)
Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.
- network-security№ 723
Сегментация сети
Практика разделения сети на несколько зон с контролируемым трафиком между ними для сдерживания взломов и реализации принципа наименьших привилегий.
● См. также
- № 107BloodHound
- № 790Pass-the-Hash
- № 1088Перенаправление SSH-агента
- № 293Технологии обмана (Deception)