Lateral Movement

Le lateral movement (mouvement latéral) désigne les techniques permettant à un attaquant de progresser d'une machine compromise vers d'autres systèmes du réseau interne, à la recherche de cibles à plus forte valeur (DC, fileserver, backup, base de données, accès cloud). C'est la phase la plus longue (moyenne 11 jours selon Mandiant) et la plus détectable d'une intrusion ciblée, ce qui en fait un point clé de la défense.

Techniques Windows : (1) RDP avec credentials récupérés ; (2) PsExec (et variantes Impacket : psexec/wmiexec/smbexec/atexec/dcomexec) — exécution distante via SMB/WMI/DCOM/Task Scheduler ; (3) WinRM (Evil-WinRM, Invoke-Command) ; (4) WMI/CIM (Invoke-WmiMethod) ; (5) Remote Service creation ; (6) Scheduled Tasks distantes ; (7) PSRemoting via Kerberos delegation abuse ; (8) RDP hijacking (tscon avec SYSTEM) ; (9) SCCM/MECM client push.

Techniques Linux : (1) SSH avec clés volées ou agent forwarding (SSH agent hijacking) ; (2) sudo avec credentials récupérés ; (3) exploitation de NFS sans root_squash ; (4) Docker socket exposé sur le réseau ; (5) Kubernetes API misconfigurations.

Techniques Cloud : (1) credentials IAM exfiltrés via SSRF/metadata ; (2) cross-account role assumption ; (3) service account impersonation GCP ; (4) Azure AD device join + PRT theft ; (5) Workload Identity Federation abuse.

Détection : (1) authentifications inter-host inhabituelles (Event 4624 logon type 3) ; (2) connexions RDP/WinRM/SMB depuis des stations vers des serveurs ; (3) outils Impacket signatures dans EDR ; (4) PowerShell remoting from non-admin workstations ; (5) Defender for Identity, BloodHound proactif. Mitigations : segmentation micro (Zero Trust), host firewall, tiering AD, LAPS, désactivation NTLM, RDP NLA, Just-In-Time access (PIM).