Qu'est-ce que le mouvement latéral ?

Les attaques par mouvement latéral ne sont pas une étape unique, mais un processus en plusieurs étapes que les attaquants exécutent avec soin pour infiltrer et exploiter les réseaux. Les étapes typiques du mouvement latéral sont décrites ci-dessous : 

La première étape d'une attaque de mouvement latéral consiste à accéder au réseau. Les attaquants peuvent essayer d'exploiter le compte d'un utilisateur à l'aide d'emails de phishing, de tactiques d'ingénierie sociale ou même de vulnérabilités avec des applications logicielles pour obtenir un accès non autorisé. 

Au stade de la reconnaissance, l'attaquant commencera par cartographier l'architecture du réseau, identifier les appareils connectés et rechercher des cibles précieuses. Les attaquants exploreront et cartographieront le réseau, y compris l’emplacement des données sensibles, des identifiants et des configurations de sécurité. Il s'agit d'une étape cruciale pour l'attaquant, car elle l'aide à comprendre les relations entre les systèmes et à planifier les prochaines étapes tout en évitant la détection des systèmes de sécurité. 

Une fois la reconnaissance terminée, les attaquants se concentreront souvent sur la collecte d'informations d'identification telles que les noms d'utilisateur, les mots de passe ou les hachages de mots de passe à partir de systèmes compromis. Les outils de dumping d'informations d'identification tels que Mimikatz ou les attaques par force brute contre les mots de passe faibles sont des méthodes courantes utilisées pour obtenir l'accès à des comptes avec des privilèges plus élevés. Ces informations d'identification volées permettent aux attaquants d'usurper l'identité d'utilisateurs légitimes, ce qui leur permet de se déplacer latéralement dans le réseau sans soulever de soupçons. 

L'escalade des privilèges implique l'exploitation des vulnérabilités logicielles, des erreurs de configuration ou des contrôles d'accès médiocres pour obtenir des autorisations de niveau supérieur. Les attaquants peuvent exploiter les failles d'une application pour obtenir des privilèges administratifs afin d'obtenir un accès illimité aux systèmes critiques. L’escalade des privilèges est une étape essentielle dans une attaque de mouvement latéral, car elle augmente considérablement la capacité de l’attaquant à s’immerger plus profondément dans le réseau. 

Une fois que les attaquants disposent de suffisamment d'informations d'identification et de privilèges, ils peuvent procéder à un mouvement latéral. Cela implique de naviguer d'un système à un autre au sein du réseau, d'accéder aux ressources, de se préparer aux dernières étapes de leur attaque et de rechercher des contre-mesures qu'une équipe de sécurité peut utiliser pour arrêter l'attaque. Les attaquants peuvent utiliser des outils légitimes tels que Remote Desktop Protocol (RDP), PowerShell ou Windows Management Instrumentation (WMI) pour se fondre dans les opérations normales et éviter la détection. Les attaquants peuvent également installer des portes dérobées ou établir des mécanismes de persistance pour maintenir l’accès au réseau, même si leur point d’entrée initial est découvert et fermé. 

Après un déplacement latéral, les attaquants atteignent leurs systèmes cibles, qui peuvent héberger des données sensibles, de la propriété intellectuelle ou une infrastructure critique. Les attaques peuvent également exécuter des logiciels malveillants, comme les ransomware, pour chiffrer des fichiers, exfiltrer des données sensibles ou désactiver des systèmes pour causer des perturbations opérationnelles. Cette étape est souvent le point culminant du processus de mouvement latéral. Plus les attaquants peuvent conserver l'accès au réseau sans détection, plus les dommages qu'ils peuvent infliger sont importants.