Lateral Movement (Pivoting) — Глибокий аналіз техніки бокового переміщення в мережі

Lateral Movement (бокове переміщення) — це одна з найбільш критичних фаз у циклі кібератаки. Після компрометації першого хоста, зловмисник переходить до пошуку шляхів переміщення мережею, отримання нових привілеїв та доступу до критичної інформації або інфраструктури. У складних атаках — це ключовий етап, що визначає масштаб збитків.

У рамках професійного OSINT/Red Team/Blue Team аналізу важливо розуміти, як працює Lateral Movement, які його типи, методи, інструменти та способи виявлення.

1. Що таке Lateral Movement?

Lateral Movement — це процес, під час якого зловмисник після проникнення в систему розширює свій доступ до інших хостів або сегментів мережі. Мета:

• розширити контроль над мережею;
• знайти привілейовані облікові записи;
• знайти критичні дані;
• встановити стійку присутність у системі;
• переміститися до цільового активу (наприклад, сервер БД або контролер домену).

Таким чином, початкова компрометація — це лише старт. Справжня небезпека починається після того, як атакувальник починає рухатися мережею.

2. Основні цілі зловмисника

Під час Lateral Movement атакувальник переслідує чітко визначені цілі:

• отримання доступу до більш привілейованих облікових записів;
• компрометація серверів Active Directory;
• перехоплення облікових даних, токенів, ключів;
• перехід у глибші частини інфраструктури (сегментовані VLAN, DMZ, серверні зони);
• експлуатація довіри між хостами;
• розгортання бекдорів;
• пошук даних, які можна ексфільтрувати або зашифрувати (у випадку ransomware).

3. Етапи Lateral Movement

Бокове переміщення зазвичай проходить у кілька етапів:

1. Первинна компрометація — фішинг, вразливість, RCE тощо.
2. Закріплення — бекдори, persistence, файл-менеджери.
3. Збір інформації —
   • внутрішні IP;
   • списки хостів;
   • відкриті порти;
   • користувачі AD;
   • доступні ресурси.
4. Збір облікових даних — keylogging, Mimikatz, LSASS dump.
5. Переміщення мережею — pivoting, lateral movement.
6. Ескалація привілеїв.
7. Досягнення цілі —
   • крадіжка даних;
   • шифрування;
   • знищення;
   • захоплення домену.

4. Види технік Lateral Movement

4.1. Pass-the-Hash

Метод, який дозволяє автентифікуватися в системі без знання пароля, використовуючи NTLM-хеш. Атакувальник може виконати команду від імені користувача, маючи лише хеш.

4.2. Pass-the-Ticket

Атаки на Kerberos. Використання TGT або ST квитків, викрадених із пам’яті скомпрометованого хоста. Дає можливість обходити MFA та інші механізми захисту у великих мережах.

4.3. Remote Code Execution через штатні засоби

• PsExec
• WMI
• WinRM
• RDP
• SMB

Ці інструменти інтегровані у Windows, тому атаки важко виявити.

4.4. Credential Dumping

Збір облікових даних із памʼяті процесу LSASS, SAM, Security Accounts Manager, кешованих credential-ів.

4.5. Компрометація Active Directory

Зловмисник може:

• отримати Golden Ticket;
• Silver Ticket;
• DCSync;
• Dump NTDS.dit;
• змінити групу Domain Admins.

4.6. Pivoting через тунелі

Pivoting — це техніка, що дозволяє атакувальнику використовувати скомпрометований хост як «міст» для доступу до внутрішньої мережі.

Види pivoting:

• SOCKS-тунелювання — proxychains, ssh -D
• VPN-тунелювання — завантаження OpenVPN-конфігу
• TCP-forwarding — meterpreter pivot
• Reverse-трафік

5. Інструменти, які використовуються для Lateral Movement

5.1. Red Team / Pentest інструменти

• Mimikatz
• Impacket (psexec.py, wmiexec.py, smbexec.py)
• CrackMapExec
• BloodHound + Sharphound
• Responder
• Metasploit Meterpreter
• Cobalt Strike
• Empire

5.2. Black Hat/зловмисники

• QakBot, Emotet, TrickBot
• Ransomware-оператори (LockBit, ALPHV, Akira)
• APT-групи (Fancy Bear, Lazarus, APT29)

6. Як зловмисники отримують облікові дані для Lateral Movement?

6.1. LSASS dump

Витяг паролів та хешів.

6.2. Keylogging

Перехоплення введення з клавіатури.

6.3. Token stealing

Викрадення токенів доступу (Access Token Manipulation).

6.4. Компрометація адмінських сесій

Через RDP, SSH, VNC.

6.5. Використання вразливостей

Zero-day та n-day у Windows, Linux, AD, VPN, Citrix.

7. Приклади атак Lateral Movement у реальному світі

7.1. SolarWinds (APT29)

Після компрометації Orion атакувальники тихо переміщалися мережею державних структур США.

7.2. WannaCry

Поширення через EternalBlue дозволило атакі миттєво розповсюдитися мережею.

7.3. Рансомварні атаки (LockBit, Conti)

90% часу операції — це саме бокове переміщення перед шифруванням.

8. Ознаки Lateral Movement (IOC)

• незвичні RDP-сесії;
• авторизація під новими обліковими записами в нерелевантних системах;
• запуск Mimikatz-подібних процесів;
• DNS-запити до внутрішніх сегментів, які не використовуються;
• підозрілі PowerShell-команди;
• створення нових служб;
• поява SOCKS-проксі чи тунелів.

9. Методи захисту від Lateral Movement

9.1. Segmentation & Zero Trust

Відмова від плоскої архітектури, поділ мережі на ізольовані сегменти.

9.2. MFA та PAM

Контроль привілейованих облікових записів і багатофакторна аутентифікація.

9.3. Захист від Pass-the-Hash

Вимкнення NTLM, Credential Guard, LSA Protection.

9.4. Моніторинг AD

Виявлення аномалій поведінки користувачів (UEBA).

9.5. Логування

PowerShell logging, Sysmon, SIEM (Splunk, ELK, QRadar).

9.6. Захист endpoint-ів

EDR/XDR (CrowdStrike, SentinelOne, Microsoft Defender).

10. Висновок

Lateral Movement — це одна з найнебезпечніших фаз кібератаки. Саме на цьому етапі зловмисники встановлюють максимальний контроль над мережею, атакують Active Directory, викрадають дані або готують раптову атаку типу ransomware.
Розуміння технік бокового переміщення дає фахівцям з кібербезпеки можливість будувати сильнішу оборону, виявляти інциденти раніше та запобігати масштабним атакам.