2025 por Mikella Marley
Quando um invasor obtém acesso inicial à sua rede, a violação é apenas o começo. Para alcançar sistemas e dados sensíveis, hackers contam com o movimento lateral para se aprofundar na rede, escalar privilégios e expandir a superfície de ataque.
Se você impedir o movimento lateral, nem toda violação irá se transformar em desastre. Vamos explorar as técnicas de movimento lateral mais comuns e oferecer dicas para bloquear os caminhos dos invasores em tempo real.
O que são técnicas de movimento lateral?
Técnicas de movimento lateral são os métodos usados por cibercriminosos para se mover dentro de uma rede após obter acesso inicial. Essas táticas os ajudam a:
- Implantar mecanismos para manter o acesso
- Escalar privilégios
- Descobrir novos sistemas e credenciais
- Alcançar alvos de alto valor (como controladores de domínio ou bancos de dados sensíveis)
O movimento lateral é tão comum que o framework MITRE ATT&CK o classifica como uma das táticas centrais em ataques cibernéticos modernos. Embora o acesso inicial possa ocorrer via phishing ou credenciais comprometidas, é por meio das técnicas de movimento lateral que os hackers transformam uma violação inicial em um ataque amplo.
Técnicas Comuns de Movimento Lateral
Embora as ameaças cibernéticas estejam sempre evoluindo, muitas técnicas de movimento lateral se enquadram em categorias como:
- Sequestro de sessão: os invasores assumem o controle de sessões existentes com serviços remotos
- Serviços remotos: usando contas válidas, os atacantes acessam serviços que aceitam conexões remotas e executam ações como o usuário autenticado
- Autenticação alternativa: os atacantes contornam os controles normais usando hashes de senha, tokens de acesso e tickets Kerberos
Outras técnicas ficam fora dessas categorias, mas são igualmente destrutivas. Na prática, os invasores raramente dependem de uma única técnica; eles frequentemente combinam várias para permanecerem invisíveis e manterem o ritmo do ataque.
Living off the Land (LotL)
Em vez de usar ferramentas externas, os invasores exploram utilitários internos como PowerShell, PsExec ou WMI para se mover lateralmente. Como essas ferramentas fazem parte do sistema operacional, seu uso se mistura ao tráfego de rede normal.
Exploração de Senhas Fracas
Senhas simples ou reutilizadas facilitam ataques de força bruta, adivinhação ou reaproveitamento de credenciais. Após acessar um ativo, os atacantes frequentemente usam as mesmas credenciais para invadir outros.
Ataques Pass-the-Hash (PtH)
Nesses ataques, o invasor utiliza uma versão em hash da senha para se autenticar sem precisar decodificá-la. Essa técnica é especialmente eficaz em ambientes com NTLM e sem segmentação ou controle de identidade adequados.
Ataques Pass-the-Ticket (PtT)
Comuns em ambientes Active Directory, esses ataques usam tickets Kerberos roubados para se passar por usuários sem precisar de senhas. No ataque Golden Ticket, o ticket de concessão (TGT) é roubado, permitindo a personificação de qualquer usuário. No Silver Ticket, são roubados tickets de serviço, permitindo autenticação mais limitada.
Spear Phishing Interno
Após comprometer uma conta, os invasores enviam e-mails de phishing convincentes de dentro da organização. Essa técnica é mais eficaz por vir de um remetente interno com contexto conhecido.
Kerberoasting
Essa técnica consiste em solicitar tickets de serviço e tentar quebrá-los offline. Contas de serviço com senhas fracas são alvos frequentes, especialmente quando têm privilégios administrativos. O Kerberoasting é mais furtivo que o PtT, pois não gera tráfego incomum.
Coleta de Credenciais (Credential Dumping)
Extrai nomes de usuários, hashes de senha ou credenciais em texto claro da memória, arquivos locais ou do registro do sistema. Essas credenciais são então usadas em outras técnicas de movimento lateral, como PtH, PtT ou logins RDP.
Remote Desktop Protocol (RDP) e Windows Remote Management (WinRM)
Dois exemplos de exploração de serviços remotos, onde os atacantes usam credenciais roubadas para acessar sistemas remotamente. Sem controles fortes como MFA, esse movimento pode permanecer oculto por longos períodos.
Server Message Block (SMB)
Outra técnica que explora serviços remotos, permite que invasores interajam com recursos compartilhados na rede. Como o SMB é usado para acessar arquivos, impressoras e portas seriais, é um meio prático para movimentação lateral.
Sequestro de SSH (SSH Hijacking)
Atacantes assumem sessões SSH ativas para obter o mesmo nível de acesso do usuário original e executar comandos remotamente. Como aproveita uma sessão existente legítima, esse método frequentemente passa despercebido.
Proteção contra Movimento Lateral: Por que apenas detectar não é suficiente?
Muitas empresas dependem de ferramentas como EDR ou SIEM para detectar movimento lateral. Embora importantes, essas ferramentas são estratégias reativas. Segundo António Vasconcelos, engenheiro de clientes da Zero Networks: “Essas são áreas de detecção após o fato. Existe esforço para antecipar ataques, mas no fim será necessário agir para emitir um alerta… A visibilidade ajuda a entender os vetores de ataque, mas, infelizmente, muitas organizações não têm essa estratégia bem definida.”
Uma vez dentro da rede, o tempo para conter o atacante é curto — a detecção geralmente é lenta demais para evitar danos. Em muitos casos, os atacantes começam a se mover lateralmente em menos de 30 minutos após o comprometimento inicial. Como muitas técnicas usam ferramentas nativas ou contas válidas, o comportamento malicioso se confunde com atividades legítimas. Em vez de confiar apenas na detecção, as empresas devem focar em prevenir o movimento lateral.
Como Bloquear Técnicas de Movimento Lateral em Tempo Real
Corrigir pontos de entrada não impede o movimento lateral. Para bloquear os caminhos preferidos dos atacantes, é necessário eliminar os percursos internos que eles usam. As estratégias mais eficazes combinam segmentação de rede, controle de identidade e aplicação de acesso em tempo real.
Abordagens-chave para eliminar o movimento lateral incluem:
- Microsegmentação: aplica o princípio de menor privilégio para limitar a comunicação entre sistemas apenas ao necessário, isolando cada ativo para deixar o invasor sem saída.
- Autenticação multifator (MFA): aplica MFA a portas e serviços privilegiados dentro da rede, tornando inúteis as técnicas que dependem de credenciais roubadas.
- Controles de acesso baseados em identidade: concessão de acesso com base na identidade e propósito verificado, e não apenas em IP ou localização.
- Automatização de políticas: uso de soluções com automação para gerar regras com base no comportamento observado e atualizar políticas continuamente.
Mesmo que invasores consigam entrar, essas medidas cortam seus caminhos e bloqueiam o movimento lateral.
Impeça o Movimento Lateral com a Zero Networks
A Zero Networks transforma os caminhos de movimento lateral em becos sem saída com uma microsegmentação automatizada. Ao orquestrar firewalls nativos para proteger cada ativo, aplicar MFA just-in-time na camada de rede e impor políticas adaptativas que evoluem com o ambiente, a Zero elimina a escalada de privilégios e mantém controles granulares dinâmicos.
Proteja sua rede contra as técnicas de movimento lateral mais comuns hoje, e prepare sua estratégia de segurança para as ameaças de amanhã. Entre em contato em contato@cybergate.solutions e agende uma demonstração.
