Red Team Field NotesPentest · Adversary Simulation · Validation
Pass-the-Hash et mouvement latéral

Mouvement latéral Windows et Linux

Concepts NTLM/Kerberos, validation en lab, préconditions, détection et réduction des chemins latéraux.

Canaux courants

Plateforme Canaux légitimes pouvant être abusés
Windows SMB, RDP, WinRM, WMI, services, outils d’administration
Linux SSH, sudo distant, orchestrateurs, clés, partages
Hybride VPN, bastions, sauvegardes, RMM, hyperviseurs

Test

Le mouvement latéral doit répondre à une hypothèse : “un compte support compromis peut-il atteindre les serveurs critiques ?”. Ne navigue pas sans objectif.

Validation

Analyse des chemins

Combine BloodHound, inventaire, pare-feu, droits locaux et outils de gestion. Le chemin technique peut être bloqué par MFA, PAM, JIT ou un bastion.

Mesures

Réduire les droits, séparer les comptes, limiter les protocoles, filtrer est-ouest, protéger les clés SSH, surveiller les outils d’administration et utiliser des PAW.

Autorisation requise

Ne déploie pas d’agent, de service ou de clé persistante pour ‘faciliter’ un rebond. Toute persistance doit être explicitement prévue et supprimée.

Références officielles