Pass-the-Hash et mouvement latéral
Mouvement latéral Windows et Linux
Concepts NTLM/Kerberos, validation en lab, préconditions, détection et réduction des chemins latéraux.
Canaux courants
| Plateforme | Canaux légitimes pouvant être abusés |
|---|---|
| Windows | SMB, RDP, WinRM, WMI, services, outils d’administration |
| Linux | SSH, sudo distant, orchestrateurs, clés, partages |
| Hybride | VPN, bastions, sauvegardes, RMM, hyperviseurs |
Test
Le mouvement latéral doit répondre à une hypothèse : “un compte support compromis peut-il atteindre les serveurs critiques ?”. Ne navigue pas sans objectif.
Validation
- compte de test ;
- cible canari ;
- commande non destructive (
hostname, lecture canari) ; - un seul saut ;
- logs activés ;
- arrêt après preuve.
Analyse des chemins
Combine BloodHound, inventaire, pare-feu, droits locaux et outils de gestion. Le chemin technique peut être bloqué par MFA, PAM, JIT ou un bastion.
Mesures
Réduire les droits, séparer les comptes, limiter les protocoles, filtrer est-ouest, protéger les clés SSH, surveiller les outils d’administration et utiliser des PAW.
Autorisation requise
Ne déploie pas d’agent, de service ou de clé persistante pour ‘faciliter’ un rebond. Toute persistance doit être explicitement prévue et supprimée.