پس از دستیابی اولیه به یک سیستم در شبکه داخلی، مرحلهی بعدی در بسیاری از حملات یا تستهای نفوذ، Lateral Movement است. در این مرحله مهاجم تلاش میکند دسترسی خود را از یک سیستم به سیستمهای دیگر در همان شبکه گسترش دهد. هدف معمولاً رسیدن به حسابهای با سطح دسترسی بالاتر یا سرورهای حیاتی مانند Domain Controller است.
در ادامه چند تکنیک رایج Lateral Movement در محیطهای ویندوزی را بررسی میکنیم.
SMB Relay
در حملات SMB Relay مهاجم احراز هویت NTLM یک کاربر را رهگیری کرده و آن را به یک سرویس دیگر در شبکه منتقل (Relay) میکند. اگر SMB Signing فعال نباشد، این تکنیک میتواند بدون دانستن پسورد واقعی کاربر اجرا شود.
سناریوی رایج:
- فریب یک کاربر یا سیستم برای برقراری اتصال SMB به سیستم مهاجم
- دریافت Challenge/Response مربوط به NTLM
- Relay کردن آن به یک سرور دیگر در شبکه
- اجرای دستور یا ایجاد دسترسی مدیریتی
ابزارهای متداول:
- ntlmrelayx در مجموعه Impacket
- Responder
Pass-the-Hash (PtH)
در این تکنیک مهاجم به جای پسورد واقعی از NTLM hash استفاده میکند. اگر مهاجم هش یک حساب مدیریتی را به دست آورد، میتواند با همان هش به سیستمهای دیگر احراز هویت کند.
منابع رایج برای استخراج هش:
- حافظه سیستم (LSASS)
- SAM Database
- ابزارهایی مانند Mimikatz
ابزارهای رایج برای اجرا:
- Impacket (psexec.py ،wmiexec.py)
- CrackMapExec
Pass-the-Ticket
در محیطهای Active Directory که از Kerberos استفاده میکنند، اگر مهاجم به Kerberos Ticket معتبر دسترسی پیدا کند میتواند بدون نیاز به رمز عبور از آن برای احراز هویت در سرویسهای دیگر استفاده کند.
انواع رایج:
- TGT reuse
- Golden Ticket
- Silver Ticket
Lateral Movement با WMI
WMI یک قابلیت مدیریتی داخلی ویندوز است که امکان اجرای دستورات از راه دور را از طریق RPC/DCOM فراهم میکند. مهاجم پس از بهدستآوردن Credential یا Hash معتبر میتواند بدون نیاز به نصب ابزار اضافی، فرآیند جدیدی روی سیستمهای دیگر ایجاد کرده و بهصورت مخفیانه حرکت جانبی انجام دهد.
شیوه انجام
- دریافت Credential یا NTLM Hash
- شناسایی سیستمهای قابل دسترس
- اجرای دستور از راه دور با WMI
- دریافت خروجی و ادامه Lateral Movement
ابزارهای رایج
- Impacket: wmiexec.py
- CrackMapExec
- PowerShell (WMI cmdlets)
مزایا برای مهاجم
- استفاده از قابلیت داخلی ویندوز (Low Noise)
- عدم نیاز به سرویس جدید
- قابل اجرا تنها با دسترسی مدیریتی
نکات دفاعی
- محدودسازی دسترسیهای Admin
- مانیتورینگ فعالیتهای WMI
- استفاده از EDR برای شناسایی اجرای دستورات مشکوک
Abuse از DCOM
Distributed Component Object Model (DCOM) یکی دیگر از مکانیزمهای اجرای دستورات از راه دور در ویندوز است. اگر مهاجم دسترسی مدیریتی داشته باشد، میتواند از DCOM برای اجرای کد روی سیستمهای دیگر استفاده کند.
ویژگی مهم این روش:
- بسیاری از فایروالهای داخلی آن را مسدود نمیکنند
- ترافیک آن شبیه فعالیتهای عادی مدیریتی است
در Impacket ابزار dcomexec.py برای این نوع حرکت جانبی استفاده میشود.
Remote Service Creation (PsExec Style)
در این روش مهاجم روی سیستم هدف یک سرویس جدید ایجاد میکند و از آن برای اجرای دستور استفاده میکند.
مراحل کلی:
- آپلود فایل اجرایی
- ایجاد سرویس جدید
- اجرای سرویس با دسترسی SYSTEM
ابزارهای متداول:
- PsExec
- psexec.py در Impacket
جمعبندی
Lateral Movement بخش حیاتی از زنجیره حمله در شبکههای داخلی است. تکنیکهایی مانند SMB Relay، Pass-the-Hash، WMI، DCOM و PsExec به مهاجمان اجازه میدهند دسترسی خود را در محیط Active Directory گسترش دهند.
شناخت این تکنیکها برای تیمهای امنیتی نیز اهمیت زیادی دارد، زیرا با درک نحوه عملکرد آنها میتوان کنترلهایی مانند SMB Signing، مانیتورینگ احراز هویتها، محدودسازی دسترسیهای مدیریتی و لاگبرداری دقیق را برای کاهش ریسک پیادهسازی کرد.


