نمایی از حرکت جانبی مهاجم در شبکه داخلی سازمان

پس از دستیابی اولیه به یک سیستم در شبکه داخلی، مرحله‌ی بعدی در بسیاری از حملات یا تست‌های نفوذ، Lateral Movement است. در این مرحله مهاجم تلاش می‌کند دسترسی خود را از یک سیستم به سیستم‌های دیگر در همان شبکه گسترش دهد. هدف معمولاً رسیدن به حساب‌های با سطح دسترسی بالاتر یا سرورهای حیاتی مانند Domain Controller است.

در ادامه چند تکنیک رایج Lateral Movement در محیط‌های ویندوزی را بررسی می‌کنیم.


SMB Relay

در حملات SMB Relay مهاجم احراز هویت NTLM یک کاربر را رهگیری کرده و آن را به یک سرویس دیگر در شبکه منتقل (Relay) می‌کند. اگر SMB Signing فعال نباشد، این تکنیک می‌تواند بدون دانستن پسورد واقعی کاربر اجرا شود.

سناریوی رایج:

  1. فریب یک کاربر یا سیستم برای برقراری اتصال SMB به سیستم مهاجم
  2. دریافت Challenge/Response مربوط به NTLM
  3. Relay کردن آن به یک سرور دیگر در شبکه
  4. اجرای دستور یا ایجاد دسترسی مدیریتی

ابزارهای متداول:

  • ntlmrelayx در مجموعه Impacket
  • Responder

Pass-the-Hash (PtH)

در این تکنیک مهاجم به جای پسورد واقعی از NTLM hash استفاده می‌کند. اگر مهاجم هش یک حساب مدیریتی را به دست آورد، می‌تواند با همان هش به سیستم‌های دیگر احراز هویت کند.

منابع رایج برای استخراج هش:

  • حافظه سیستم (LSASS)
  • SAM Database
  • ابزارهایی مانند Mimikatz

ابزارهای رایج برای اجرا:


Pass-the-Ticket

در محیط‌های Active Directory که از Kerberos استفاده می‌کنند، اگر مهاجم به Kerberos Ticket معتبر دسترسی پیدا کند می‌تواند بدون نیاز به رمز عبور از آن برای احراز هویت در سرویس‌های دیگر استفاده کند.

انواع رایج:

  • TGT reuse
  • Golden Ticket
  • Silver Ticket

Lateral Movement  با WMI 

WMI یک قابلیت مدیریتی داخلی ویندوز است که امکان اجرای دستورات از راه دور را از طریق RPC/DCOM فراهم می‌کند. مهاجم پس از به‌دست‌آوردن Credential یا Hash معتبر می‌تواند بدون نیاز به نصب ابزار اضافی، فرآیند جدیدی روی سیستم‌های دیگر ایجاد کرده و به‌صورت مخفیانه حرکت جانبی انجام دهد.

شیوه انجام

  1. دریافت Credential یا NTLM Hash
  2. شناسایی سیستم‌های قابل دسترس
  3. اجرای دستور از راه دور با WMI
  4. دریافت خروجی و ادامه Lateral Movement

ابزارهای رایج

  • Impacket: wmiexec.py 
  • CrackMapExec
  • PowerShell (WMI cmdlets)

مزایا برای مهاجم

  • استفاده از قابلیت داخلی ویندوز (Low Noise)
  • عدم نیاز به سرویس جدید
  • قابل اجرا تنها با دسترسی مدیریتی

نکات دفاعی

  • محدودسازی دسترسی‌های Admin
  • مانیتورینگ فعالیت‌های WMI
  • استفاده از EDR برای شناسایی اجرای دستورات مشکوک

 Abuse از  DCOM

Distributed Component Object Model (DCOM) یکی دیگر از مکانیزم‌های اجرای دستورات از راه دور در ویندوز است. اگر مهاجم دسترسی مدیریتی داشته باشد، می‌تواند از DCOM برای اجرای کد روی سیستم‌های دیگر استفاده کند.

ویژگی مهم این روش:

  • بسیاری از فایروال‌های داخلی آن را مسدود نمی‌کنند
  • ترافیک آن شبیه فعالیت‌های عادی مدیریتی است

در Impacket ابزار dcomexec.py برای این نوع حرکت جانبی استفاده می‌شود.


Remote Service Creation (PsExec Style)

در این روش مهاجم روی سیستم هدف یک سرویس جدید ایجاد می‌کند و از آن برای اجرای دستور استفاده می‌کند.

مراحل کلی:

  1. آپلود فایل اجرایی
  2. ایجاد سرویس جدید
  3. اجرای سرویس با دسترسی SYSTEM

ابزارهای متداول:


جمع‌بندی

Lateral Movement بخش حیاتی از زنجیره حمله در شبکه‌های داخلی است. تکنیک‌هایی مانند SMB Relay، Pass-the-Hash، WMI، DCOM و PsExec به مهاجمان اجازه می‌دهند دسترسی خود را در محیط Active Directory گسترش دهند.

شناخت این تکنیک‌ها برای تیم‌های امنیتی نیز اهمیت زیادی دارد، زیرا با درک نحوه عملکرد آن‌ها می‌توان کنترل‌هایی مانند SMB Signing، مانیتورینگ احراز هویت‌ها، محدودسازی دسترسی‌های مدیریتی و لاگ‌برداری دقیق را برای کاهش ریسک پیاده‌سازی کرد.

 

نظرات کاربران

اخبار و رسانه های مرتبط

مشاهده همه