O movimento lateral é um tipo de atividade de rede de computadores que envolve a transferência lateral ou movimento não autorizado através de uma rede de um sistema de computador para outro. É uma técnica comumente usada por um invasor para obter acesso a outros sistemas em uma rede ou segmentos de rede quando um computador é comprometido, permitindo que atores mal-intencionados atravessem ainda mais a rede. O movimento lateral pode abranger uma variedade de atividades, como autenticação em um sistema já comprometido, execução de explorações locais ou desenvolvimento de novas, aumento de privilégios e proxy de conexões de rede.
O movimento lateral geralmente é realizado por meio de dois métodos comuns: pass-the-hash e pass-the-ticket. Pass-the-hash é um ataque no qual um invasor captura o valor hash da senha de um usuário (geralmente por meio de um ataque de phishing) e o utiliza para autenticar outros sistemas na rede. Pass-the-ticket é um ataque no qual o invasor captura o ticket de concessão de ticket (TGT) Kerberos do usuário e o usa para autenticar outros sistemas na rede.
Os métodos comuns de movimento lateral também incluem execução remota de código, manipulação de arquivos, criação de tarefas, manipulação de WMI e manipulação de serviço. As técnicas de movimento lateral variam dependendo da postura de segurança da rede alvo, mas todas as tentativas de descobrir e mover-se lateralmente através de uma rede alvo requerem algum tipo de reconhecimento. Uma vez estabelecida uma posição segura, é possível entrar em sistemas confidenciais e roubar dados confidenciais ou lançar ataques adicionais. Como tal, o movimento lateral é um foco principal do monitoramento da segurança da rede e é um estágio da atividade para que um ataque seja identificado e respondido.
A defesa contra movimentos laterais requer uma abordagem de segurança abrangente, incluindo autenticação multifatorial, segmentação de contas privilegiadas, aplicação de patches segura e monitoramento de tentativas de movimentos laterais usando análises avançadas e inteligência de ameaças. As empresas devem auditar todas as atividades do sistema em busca de comportamento suspeito e procurar vetores de ataque maliciosos comumente usados em seu ambiente.
