# Movimentação Lateral ```mermaid graph TB A["↔️ Movimentacao Lateral (TA0008)<br/>Propagacao na rede"] --> B["🖥️ Servicos Remotos<br/>T1021 - RDP/SMB/SSH/VNC"] A --> C["🔑 Pass-the-Hash<br/>Credenciais capturadas"] A --> D["📂 Conteudo Compartilhado<br/>T1080 - Taint Shared Content"] A --> E["💾 Midia Removivel<br/>T1091 - USB/Pendrive"] A --> F["🔓 Exploit Servicos Remotos<br/>T1210 - EternalBlue/RCE"] A --> G["📨 Spearphishing Interno<br/>T1534 - Email interno"] A --> H["🔄 Transferencia de Ferramentas<br/>T1570 - Lateral Tool Transfer"] ``` > [!info] Visão Geral > A tática de Movimentação Lateral descreve as técnicas usadas por atacantes para progressivamente se mover de sistema em sistema dentro de uma rede comprometida. Após o acesso inicial, o objetivo e expandir o alcance até atingir os ativos de maior valor - servidores de dados, controladores de dominio e sistemas criticos. > **Técnicas:** 19 técnicas nesta categoria, com Remote Services (RDP, SMB, SSH) como o vetor mais utilizado. > **Destaque LATAM:** RDP exposto para a internet e um vetor critico no Brasil, especialmente em PMEs e orgaos governamentais que operam com infraestrutura legada e configuracoes fracas de autenticação. > [!warning] Contexto Brasil/LATAM > A movimentação lateral via **RDP** (**T1021.001**) e SMB (**T1021.002**) e extremamente prevalente em ataques de ransomware contra empresas brasileiras. Operadores de **LockBit** e **BlackByte** documentaram uso extensivo de RDP para propagação após comprometimento inicial. A grande quantidade de sistemas Windows desatualizados na infraestrutura corporativa brasileira torna a exploração de servicos remotos (**T1210**) particularmente eficaz. Campanhas de **APT28** e **Sandworm** contra América Latina também demonstraram sofisticadas técnicas de movimentação lateral via SMB. > **19 técnicas** · Propagação para outros sistemas na rede - RDP, SMB, SSH, pass-the-hash. %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nome" FROM "ttp/techniques/lateral-movement" WHERE type = "technique" SORT title ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Nome" FROM "ttp/techniques/lateral-movement" WHERE type = "technique" SORT title ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Nome" FROM "ttp/techniques/lateral-movement" WHERE type = "technique" SORT title ASC --> | Nota | Nome | | ----------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------- | | [[t0866-exploitation-of-remote-services-ics\|T0866 - Exploitation of Remote Services (ICS)]] | T0866 - Exploitation of Remote Services (ICS) | | [[t1021-remote-services\|T1021 - Remote Services]] | T1021 - Remote Services | | [[t1021-001-remote-desktop-protocol\|T1021.001 - Remote Desktop Protocol]] | T1021.001 - Remote Desktop Protocol | | [[t1021-002-smb-windows-admin-shares-lateral\|T1021.002 - SMB/Windows Admin Shares]] | T1021.002 - SMB/Windows Admin Shares | | [[t1021-002-smb-windows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | T1021.002 - SMB/Windows Admin Shares | | [[t1021-002-smbwindows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | T1021.002 - SMB/Windows Admin Shares | | [[t1021-003-distributed-component-object-model\|T1021.003 - Distributed Component Object Model]] | T1021.003 - Distributed Component Object Model | | [[t1021-004-ssh\|T1021.004 - SSH]] | T1021.004 - SSH | | [[t1021-005-vnc\|T1021.005 - VNC]] | T1021.005 - VNC | | [[t1021-006-windows-remote-management\|T1021.006 - Windows Remote Management]] | T1021.006 - Windows Remote Management | | [[t1021-007-cloud-services\|T1021.007 - Cloud Services]] | T1021.007 - Cloud Services | | [[t1021-008-direct-cloud-vm-connections\|T1021.008 - Direct Cloud VM Connections]] | T1021.008 - Direct Cloud VM Connections | | [[t1080-taint-shared-content\|T1080 - Taint Shared Content]] | T1080 - Taint Shared Content | | [[t1091-replication-through-removable-media\|T1091 - Replication Through Removable Media]] | T1091 - Replication Through Removable Media | | [[t1210-exploitation-of-remote-services\|T1210 - Exploitation of Remote Services]] | T1210 - Exploitation of Remote Services | | [[t1534-internal-spearphishing\|T1534 - Internal Spearphishing]] | T1534 - Internal Spearphishing | | [[t1563-remote-service-session-hijacking\|T1563 - Remote Service Session Hijacking]] | T1563 - Remote Service Session Hijacking | | [[t1563-001-ssh-hijacking\|T1563.001 - SSH Hijacking]] | T1563.001 - SSH Hijacking | | [[t1563-002-rdp-hijacking\|T1563.002 - RDP Hijacking]] | T1563.002 - RDP Hijacking | | [[t1570-lateral-tool-transfer\|T1570 - Lateral Tool Transfer]] | T1570 - Lateral Tool Transfer | <!-- SerializedQuery END --> --- **Navegação:** [[_techniques|Técnicas]] · [[_tactics|Táticas]] · [[_procedures|Procedimentos]]