ta0008-lateral-movement

# TA0008 — Lateral Movement ## Descrição O Movimento Lateral compreende as técnicas utilizadas para **mover-se de sistema em sistema** dentro da rede comprometida. O ponto de entrada inicial raramente é o alvo final — adversários precisam alcançar servidores de alto valor: controladores de domínio, servidores de backup, sistemas de pagamento, repositórios de código, bases de dados com dados sensíveis. O movimento lateral é frequentemente invisível para defesas perimetrais porque ocorre **internamente** — tráfego de um host comprometido para outro host interno, usando protocolos legítimos como SMB, RDP, WMI e WinRM. Com credenciais válidas obtidas na fase anterior ([[t1003-os-credential-dumping|T1003]]), o adversário autentica-se em hosts remotos usando técnicas como [[t1550-002-pass-the-hash|Pass-the-Hash]] ou [[t1021-remote-services|Remote Services]]. Em operações de ransomware, o movimento lateral culmina no comprometimento do Domain Controller — a partir do qual o payload pode ser deployado em **toda a organização simultaneamente** usando Group Policy Objects (GPO), PsExec ou WMI. Esse é o momento mais devastador de um ataque ransomware. ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["↔️ Mov. Lateral"]:::active LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Lateral Movement") SORT mitre-id ASC ``` %%   | Nota | ID | Técnica | Plataformas | | --------------------------------------------------------------------------------------------------------------------------------------------- | --------- | --------------------------------------------------------------------------- | --------------------------------------------------------------------------------------- | | [[t0866-exploitation-of-remote-services-ics\|T0866 - Exploitation of Remote Services (ICS)]] | T0866 | T0866 - Exploitation of Remote Services (ICS) | <ul><li>ICS/OT</li></ul> | | [[t1021-remote-services\|T1021 - Remote Services]] | T1021 | T1021 - Remote Services | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>IaaS</li><li>ESXi</li></ul> | | [[t1021-001-remote-desktop-protocol\|T1021.001 - Remote Desktop Protocol]] | T1021.001 | T1021.001 - Remote Desktop Protocol | <ul><li>Windows</li></ul> | | [[t1021-002-smb-windows-admin-shares-lateral\|T1021.002 - SMB/Windows Admin Shares]] | T1021.002 | T1021.002 - SMB/Windows Admin Shares | <ul><li>Windows</li></ul> | | [[t1021-002-smb-windows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | T1021.002 | T1021.002 - SMB/Windows Admin Shares | <ul><li>Windows</li></ul> | | [[t1021-002-smbwindows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | T1021.002 | T1021.002 - SMB/Windows Admin Shares | <ul><li>Windows</li></ul> | | [[t1021-003-distributed-component-object-model\|T1021.003 - Distributed Component Object Model]] | T1021.003 | T1021.003 - Distributed Component Object Model | <ul><li>Windows</li></ul> | | [[t1021-004-ssh\|T1021.004 - SSH]] | T1021.004 | T1021.004 - SSH | <ul><li>ESXi</li><li>Linux</li><li>macOS</li></ul> | | [[t1021-005-vnc\|T1021.005 - VNC]] | T1021.005 | T1021.005 - VNC | <ul><li>Linux</li><li>Windows</li><li>macOS</li></ul> | | [[t1021-006-windows-remote-management\|T1021.006 - Windows Remote Management]] | T1021.006 | T1021.006 - Windows Remote Management | <ul><li>Windows</li></ul> | | [[t1021-007-cloud-services\|T1021.007 - Cloud Services]] | T1021.007 | T1021.007 - Cloud Services | <ul><li>IaaS</li><li>Identity Provider</li><li>Office Suite</li><li>SaaS</li></ul> | | [[t1021-008-direct-cloud-vm-connections\|T1021.008 - Direct Cloud VM Connections]] | T1021.008 | T1021.008 - Direct Cloud VM Connections | <ul><li>IaaS</li></ul> | | [[t1080-taint-shared-content\|T1080 - Taint Shared Content]] | T1080 | T1080 - Taint Shared Content | <ul><li>Windows</li><li>SaaS</li><li>Linux</li><li>macOS</li><li>Office Suite</li></ul> | | [[t1091-replication-through-removable-media\|T1091 - Replication Through Removable Media]] | T1091 | T1091 - Replication Through Removable Media | <ul><li>Windows</li></ul> | | [[t1210-exploitation-of-remote-services\|T1210 - Exploitation of Remote Services]] | T1210 | T1210 - Exploitation of Remote Services | <ul><li>Linux</li><li>Windows</li><li>macOS</li><li>ESXi</li></ul> | | [[t1534-internal-spearphishing\|T1534 - Internal Spearphishing]] | T1534 | T1534 - Internal Spearphishing | <ul><li>Windows</li><li>macOS</li><li>Linux</li><li>SaaS</li><li>Office Suite</li></ul> | | [[t1550-001-app-access-token\|T1550.001 - Use Alternaté Authentication Material: Application Access Token]] | T1550.001 | T1550.001 - Use Alternaté Authentication Material: Application Access Token | <ul><li>SaaS</li><li>Office 365</li><li>Google Workspace</li><li>Azure AD</li></ul> | | [[t1563-remote-service-session-hijacking\|T1563 - Remote Service Session Hijacking]] | T1563 | T1563 - Remote Service Session Hijacking | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1563-001-ssh-hijacking\|T1563.001 - SSH Hijacking]] | T1563.001 | T1563.001 - SSH Hijacking | <ul><li>Linux</li><li>macOS</li></ul> | | [[t1563-002-rdp-hijacking\|T1563.002 - RDP Hijacking]] | T1563.002 | T1563.002 - RDP Hijacking | <ul><li>Windows</li></ul> | | [[t1570-lateral-tool-transfer\|T1570 - Lateral Tool Transfer]] | T1570 | T1570 - Lateral Tool Transfer | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> |  ## Mindmap — Técnicas de Movimento Lateral ```mermaid mindmap root((TA0008<br/>Lateral Movement)) Serviços Remotos T1021 Remote Services T1021.001 RDP T1021.002 SMB Admin Shares T1021.004 SSH T1021.006 WinRM Autenticação Alternativa T1550 Use Alternaté Auth Material T1550.002 Pass the Hash T1550.003 Pass the Ticket Golden/Silver Ticket Exploração T1210 Exploitation of Remote Services T0866 ICS Remote Services EternalBlue SMB Transferência de Ferramentas T1570 Lateral Tool Transfer SMB Copy WMI File Transfer Abuso de Confiança T1199 Trusted Relationship T1534 Internal Spearphishing Comprometimento de Jump Server ``` ## Atores que Utilizam esta Tática | Ator | Técnica de Movimento Lateral | |------|------------------------------| | [[lockbit\|LockBit Operators]] | SMB + PsExec para deploy de ransomware em massa | | [[g0034-sandworm\|Sandworm]] | EternalBlue, WMI, comprometimento de DCs | | [[Cozy Bear]] | RDP, WinRM, movimento furtivo entre hosts | | [[g1017-volt-typhoon\|Volt Typhoon]] | RDP com credenciais válidas, SMB silencioso | | [[g0032-lazarus-group\|Lazarus Group]] | SSH em ambientes Linux/macOS, SMB em Windows | ## Detecção e Mitigação ### Detecção - **Event ID 4624/4625:** Logons remotos — padrões de spray de credenciais em múltiplos hosts - **Event ID 4648:** Logon com credenciais explícitas — indicativo de Pass-the-Hash - **Sysmon Event ID 3:** Conexões de rede — hosts que normalmente não se comúnicam - **SIEM:** Correlação de logons em múltiplos hosts por uma única conta em jánela de tempo curta - **Lateral Movement Detection:** Uso de PsExec, WMI de estações de trabalho para servidores ### Mitigação - **Segmentação de rede:** Microsegmentação — estações não podem se comúnicar com servidores diretamente - **Desabilitar SMBv1:** Elimina EternalBlue e variantes de exploração SMB legado - **Restringir RDP:** Apenas Jump Servers autorizados podem iniciar RDP para servidores - **LAPS:** Senhas de admin local únicas por host — impede movimento via credencial local reutilizada - **Privileged Access Workstations (PAW):** Hosts dedicados para administração privilegiada ## Relevância LATAM/Brasil Ataques de ransomware no Brasil tipicamente levam entre 2 e 5 dias do acesso inicial ao deploy do payload — com a maior parte do tempo no movimento lateral para encontrar e comprometer o Domain Controller. Organizações com Active Directory flat (sem segmentação de Tiers) são comprometidas em horas. Incidentes em hospitais e órgãos governamentais brasileiros documentados públicamente mostram o padrão: entrada via phishing ou VPN exposta → escalada → movimento lateral via SMB → GPO para deploy de ransomware em centenas de hosts simultaneamente. - [[ta0007-discovery|TA0007 - Discovery]] — fase anterior - [[ta0009-collection|TA0009 - Collection]] — fase seguinte - [[t1021-remote-services|T1021 - Remote Services]] — acesso remoto legítimo - [[Windows Admin Shares]] — movimento via SMB - [[t1550-002-pass-the-hash|T1550.002 - Pass-the-Hash]] — autenticação com hash - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] — transferência de ferramentas - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] — pré-requisito de credenciais - [[lockbit|LockBit Operators]] — referência de lateral movement para ransomware - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0008-*|MITRE ATT&CK - TA0008 Lateral Movement]] - [Microsoft — Detecting Lateral Movement](https://docs.microsoft.com/en-us/security/compass/incident-response-playbook-lateral-movement)