Lateral Movement, или боковое перемещение, начинается не в момент «взломали всю компанию», а гораздо раньше. Обычно атакующий получает первый доступ к одной машине, почтовому ящику, VPN-учетке, серверу приложений или рабочей станции подрядчика, а дальше пытается понять, куда еще можно попасть из этой точки.
Главная идея проста: первый компьютер редко бывает конечной целью. Целью чаще становятся файловые хранилища, домен, бухгалтерские системы, серверы разработки, резервные копии, почта руководства, панели администрирования и инфраструктура безопасности. Поэтому атакующий не «сидит» на одной машине, а строит маршрут по сети, используя учетные записи, доверительные связи, удаленное администрирование и старые ошибки архитектуры.
Что такое lateral movement без голливудского тумана
В модели MITRE ATT&CK боковое перемещение описывает техники, с помощью которых злоумышленник получает доступ к удаленным системам внутри сети и управляет ими. Хорошее короткое определение есть в разделе Lateral Movement у MITRE: атакующий исследует сеть, ищет нужные цели, затем проходит через несколько систем и учетных записей.
В реальной инфраструктуре боковое перемещение часто выглядит буднично. Не черный экран с зеленым кодом, а обычная административная активность: вход по RDP, доступ к сетевой папке, подключение к серверу через удаленное управление, запуск службы, запрос к контроллеру домена, чтение списка групп, обращение к внутреннему Git, попытка открыть соседний сегмент.
Проблема как раз в будничности. Защитные системы плохо отличают администратора, который чинит сервер, от атакующего, который использует украденную учетку администратора. Чем больше в компании ручного администрирования, общих паролей, старых протоколов и широких прав, тем легче злоумышленнику раствориться в нормальном шуме.
Боковое перемещение почти всегда опирается не на одну «дыру», а на сумму слабостей: лишние права, переиспользованные пароли, плоскую сеть, слабый контроль админских учеток и слепые зоны в журналах.
Типичный маршрут атакующего внутри сети
Сценарии отличаются, но логика часто похожа. Сначала атакующий закрепляется в первой точке. Дальше начинается разведка: какие домены доступны, какие пользователи входят в локальные группы администраторов, где лежат сетевые папки, какие серверы открыты, какие службы слушают внутренние порты, какие учетные данные можно найти в памяти, файлах конфигурации, скриптах, браузере или старых резервных копиях.
После разведки атакующий ищет следующий шаг. Иногда хватает обычного пароля, потому что один и тот же локальный администратор настроен на десятках машин. Иногда помогает токен уже вошедшего пользователя. Иногда срабатывает слабый сервисный аккаунт, которому дали слишком много прав «временно», а потом забыли. Иногда путь строится через RDP, SMB, WinRM, WMI, SSH, внутренние панели управления, базы данных или средства развертывания программ.
Дальше атакующий повторяет цикл. Попал на новую машину, осмотрелся, собрал учетные данные, проверил соседние цели, продвинулся дальше. Такой маршрут может пройти от зараженного ноутбука менеджера до контроллера домена, сервера резервного копирования или системы, где лежат критичные данные.
Почему учетные записи важнее вредоносного файла
Многие представляют атаку как запуск вредоносной программы. В боковом перемещении центральным ресурсом чаще становится учетная запись. Валидный логин открывает больше дверей, чем шумный эксплойт, потому что вход с правильным паролем внешне похож на штатную работу.
Особенно опасны несколько классов учеток. Локальные администраторы с одинаковым паролем позволяют прыгать между рабочими станциями. Доменные администраторы, которые входят на обычные пользовательские машины, оставляют после себя слишком ценные следы. Сервисные аккаунты с бессрочными паролями и широкими правами становятся удобными «рельсами» для движения. Учетки подрядчиков и старые учетные записи бывших сотрудников часто выпадают из регулярного контроля.
В Windows-сетях отдельный риск связан с NTLM, Kerberos, билетами, хэшами и токенами. Смысл не в экзотике терминов, а в практическом эффекте: атакующему иногда не нужен пароль в открытом виде, если инфраструктура принимает производный секрет или уже выданный токен как достаточное доказательство личности. Microsoft прямо относит Pass-the-Hash к техникам бокового перемещения в описании предупреждений Defender for Identity, где речь идет о краже NTLM-хэша с одного компьютера и использовании доступа к другому компьютеру через этот хэш в документации.
Основные техники бокового перемещения
Техники lateral movement не ограничиваются одной операционной системой. В Windows чаще всплывают RDP, SMB, удаленные службы, WMI, WinRM, административные шары, Kerberos и Active Directory. В Linux и смешанных средах добавляются SSH, ключи, sudo-права, общие домашние каталоги, CI/CD-секреты, системы управления конфигурациями и внутренние панели. В облаке роль «соседней машины» часто играет не сервер, а новая роль, проект, хранилище, кластер или консоль управления.
| Техника | Как выглядит в сети | Почему опасна | Что смотреть защитникам |
|---|---|---|---|
| Валидные учетные записи | Обычный вход пользователя или администратора на новую систему | Активность похожа на легитимную работу | Нетипичные хосты, время входа, география, резкий рост числа входов |
| RDP | Интерактивное подключение к рабочей станции или серверу | Дает удобный графический доступ и часто разрешен слишком широко | Входы типа 10, новые пары пользователь-хост, подключения между рабочими станциями |
| SMB и сетевые папки | Доступ к шарам, копирование файлов, обращение к административным ресурсам | Помогает переносить инструменты и собирать данные | Доступ к административным шарам, массовое чтение файлов, новые источники подключений |
| Удаленное управление | Создание службы, удаленный запуск процесса, управление через штатные механизмы ОС | Не требует отдельного вредоносного агента | Новые службы, процессы от имени админов, необычные родительские процессы |
| Злоупотребление Kerberos и NTLM | Использование билетов, хэшей или слабых сервисных учеток | Позволяет двигаться без знания пароля в привычном смысле | Аномальные Kerberos-запросы, NTLM там, где должен быть Kerberos, старые сервисные пароли |
| Инструменты администрирования | Действия через системы развертывания, мониторинга, удаленной поддержки | Один взломанный инструмент дает доступ сразу ко многим узлам | Кто запустил задачу, на какие группы машин, в какое время, с каким содержимым |
Самая дорогая ошибка: плоская сеть
Плоская сеть превращает боковое перемещение в прогулку по офису без закрытых дверей. Рабочая станция может видеть сервер базы данных. Сервер печати может общаться с бухгалтерской системой. Пользовательский сегмент может ходить к административным интерфейсам. Тестовая среда может доверять боевому домену. В такой архитектуре первый доступ быстро превращается в карту внутренних возможностей.
Сегментация не обязана быть декоративной схемой для аудита. Сегментация должна ломать маршрут атакующего. Пользовательские машины не должны свободно подключаться друг к другу. Административные интерфейсы не должны торчать в общих сетях. Серверы резервного копирования не должны жить в том же доверительном контуре, что и обычные рабочие станции. Средства управления должны иметь отдельный контур доступа, журналирование и строгую модель прав.
Хорошая проверка звучит грубо, но работает: если взломан ноутбук рядового сотрудника, какие внутренние системы станут доступны без дополнительных барьеров? Ответ часто неприятнее, чем кажется на схеме.
Почему EDR не спасает в одиночку
EDR помогает видеть подозрительные процессы, цепочки запуска, попытки сбора учетных данных, создание служб и странные действия на конечных точках. Но боковое перемещение не всегда громкое. Когда атакующий использует штатный RDP, существующую учетку, корпоративный инструмент развертывания или разрешенный протокол, защита конечной точки получает не «вредоносный файл», а спорный контекст.
Поэтому нужна связка из нескольких слоев. Журналы входов показывают, кто и куда подключался. Сетевая телеметрия показывает связи между узлами. Система контроля привилегий объясняет, почему у пользователя вообще был доступ. Средства анализа Active Directory находят опасные доверительные пути. NTA помогает увидеть аномальные внутренние соединения и боковое движение в сетевом трафике. На SecurityLab есть разбор, зачем хранить сетевой трафик и как NTA помогает анализировать стадии атаки, включая Lateral Movement.
Смысл не в покупке еще одной коробки, а в способности ответить на простые вопросы после тревоги: откуда пришел вход, какая учетка использовалась, где та же учетка появилась раньше, какие машины получили новые подключения, какие права изменились, какие файлы читались, какие службы создавались, какие системы оказались следующими в цепочке.
Какие следы выдают движение по сети
Боковое перемещение редко проходит совсем бесследно. Проблема в другом: следы размазаны по контроллерам домена, конечным точкам, межсетевым экранам, VPN, почте, прокси, серверам файлов, средствам удаленного управления и облачным журналам. Без корреляции защитник видит не атаку, а набор мелких событий.
В Windows-среде полезно смотреть на входы в систему, выдачу привилегий, создание новых служб, доступ к сетевым ресурсам, запуск процессов и Kerberos-события. Например, резкий рост входов типа 3 между рабочими станциями, входы типа 10 на серверы с учеток, которые раньше туда не ходили, новые службы на удаленных хостах, обращения к административным шарам и массовые запросы сервисных билетов должны попадать в отдельную витрину мониторинга.
В Linux-среде полезны журналы SSH, sudo, PAM, изменения authorized_keys, новые задания cron, необычные системные службы, обращения к внутренним репозиториям и попытки доступа к хранилищам секретов. В облаке смотрят смену ролей, выпуск новых ключей, доступ к хранилищам, необычные вызовы API, подключение к консолям управления и попытки перескочить между проектами или подписками.
Как усложнить атакующему маршрут
Защита от lateral movement начинается не с красивого правила в SIEM, а с архитектуры. Атакующий должен каждый раз упираться в новый барьер: нет сетевого маршрута, нет прав, нет старого протокола, нет сохраненного секрета, нет возможности использовать админскую учетку на пользовательской машине.
- Разделяйте сеть по смыслу. Пользовательские рабочие станции, серверы, резервные копии, админские интерфейсы, тестовые среды и критичные системы должны жить в разных зонах с понятными правилами обмена.
- Убирайте общие локальные пароли. Локальные администраторы с одинаковым паролем на всех компьютерах превращают одну компрометацию в массовую.
- Запрещайте админский вход куда попало. Доменный администратор не должен читать почту, ходить в интернет и входить на обычные станции.
- Режьте NTLM и старые протоколы. Там, где отказ сразу невозможен, хотя бы инвентаризируйте зависимости и двигайтесь по плану снижения риска.
- Вводите модель минимальных прав. Сервисные аккаунты, администраторы приложений и группы поддержки должны иметь ровно тот доступ, который нужен для работы.
- Следите за внутренними связями. Рабочая станция, которая внезапно подключается к десяткам соседних машин, должна вызывать вопрос без ожидания антивирусного вердикта.
Отдельно стоит проверить резервные копии. Во многих атаках злоумышленник сначала ищет и уничтожает резервные копии, а уже потом шифрует или крадет данные. Если сервер резервного копирования доступен из обычной пользовательской сети и управляется доменной учеткой с широкими правами, восстановление может оказаться иллюзией.
Что проверять на учениях и пентесте
Безопасный тест lateral movement должен отвечать не на вопрос «можно ли красиво взломать домен», а на вопрос «какие конкретные маршруты открыты прямо сейчас». Хороший сценарий начинается с ограниченной стартовой точки: обычная пользовательская машина, учетная запись без админских прав, доступ подрядчика, сервер в тестовом сегменте или скомпрометированный почтовый ящик.
Дальше проверяют не трюки, а системные провалы. Видит ли пользовательская машина соседние рабочие станции. Можно ли достучаться до серверов управления. Есть ли общие локальные администраторы. Где хранятся пароли в скриптах и конфигурациях. Какие сервисные аккаунты имеют лишние права. Срабатывают ли правила мониторинга при подключении к нетипичным хостам. Замечает ли команда безопасности цепочку, а не отдельное событие.
Плохой тест заканчивается отчетом «получили доменного администратора». Хороший тест показывает путь: первая точка, найденная учетка, следующий хост, слабое правило сегментации, лишняя группа, пропущенное событие, техническое исправление, владелец риска и срок закрытия.
Мифы о lateral movement, которые мешают защите
Миф первый: если периметр крепкий, внутри можно расслабиться. Периметр давно не один. VPN, облака, подрядчики, почта, мобильные устройства, удаленный доступ и SaaS создают десятки входов. Внутренняя сеть должна проектироваться так, будто один узел уже скомпрометирован.
Миф второй: боковое перемещение всегда видно антивирусу. Не всегда. Валидный вход по разрешенному протоколу с нормальной учеткой может не содержать вредоносного файла. Нужны поведенческие правила, контекст личности, сеть и журналы.
Миф третий: сегментация мешает только пользователям. Плохая сегментация правда мешает. Хорошая сегментация фиксирует нормальные маршруты работы и режет лишние. Разница между ними в инвентаризации, диалоге с владельцами систем и регулярной проверке правил.
Миф четвертый: доменный администратор нужен почти всем администраторам. В зрелой инфраструктуре доменный администратор используется редко, по отдельной процедуре и с отдельной рабочей станции. Повседневные задачи решаются делегированными ролями.
Короткий чеклист для своей сети
| Вопрос | Плохой признак | Что сделать |
|---|---|---|
| Могут ли рабочие станции подключаться друг к другу? | Любой пользовательский хост видит соседние хосты по RDP, SMB или WinRM | Ограничить east-west трафик, оставить только нужные исключения |
| Где используются доменные админы? | Админ входит на обычные рабочие станции и серверы приложений | Выделить админские станции и запретить вход на низкодоверенные узлы |
| Есть ли одинаковые локальные пароли? | Один локальный администратор работает на многих машинах | Внедрить уникальные локальные пароли и регулярную ротацию |
| Кто контролирует сервисные аккаунты? | Пароли бессрочные, права широкие, владельца нет | Назначить владельцев, сократить права, включить ротацию и аудит |
| Видны ли аномальные внутренние подключения? | Команда видит только внешние атаки и антивирусные срабатывания | Собрать сетевую, доменную и конечную телеметрию в общую картину |
Где провести границу между знанием и риском
Понимать lateral movement нужно защитникам, администраторам, архитекторам, аудиторам и руководителям ИБ. Без понимания маршрутов атакующего невозможно нормально строить сегментацию, управлять учетками и оценивать ущерб от первого инцидента. Но разбор таких техник легко превращается в инструкцию по несанкционированному доступу, если уходить в команды, обходы и эксплуатацию чужих систем.
Материал предназначен для легального обучения, проектирования защиты, внутреннего аудита и согласованных проверок безопасности. Любые тесты в реальных сетях нужно проводить только с письменным разрешением владельца инфраструктуры, в согласованных границах и с учетом законодательства, включая требования России и страны, где находится инфраструктура. Нельзя использовать такие знания для взлома чужих систем, обхода ограничений, скрытого доступа, кражи данных или нарушения работы сервисов.
FAQ по lateral movement
Чем lateral movement отличается от privilege escalation?
Privilege escalation повышает права на той же системе или в том же контуре доступа. Lateral movement переносит атакующего на другие системы. На практике техники часто связаны: атакующий повышает права на одной машине, чтобы пройти на следующую.
Можно ли полностью запретить боковое перемещение?
Полностью запретить нельзя, потому что администрирование тоже требует удаленного доступа. Реальная цель другая: разрешить только нужные маршруты, убрать лишние права и сделать нетипичное движение заметным.
Что опаснее: RDP или SMB?
Опасен не сам протокол, а контекст. RDP плох, когда доступ открыт широко и не контролируется. SMB опасен при административных шарах, слабом контроле учеток и массовом доступе к файлам. Оба протокола требуют жестких правил и журналирования.
Зачем атакующему контроллер домена?
Контроллер домена помогает управлять идентичностями и доступом в Windows-инфраструктуре. Компрометация домена часто дает атакующему возможность массово управлять учетками, политиками и доступом к системам.
С чего начать защиту маленькой компании?
Начните с учеток и сегментации. Уберите общие локальные пароли, включите многофакторную проверку для удаленного доступа, запретите админский вход на обычные рабочие станции, ограничьте RDP и SMB между пользовательскими машинами, настройте сбор ключевых журналов входа.
Вывод для практики
Lateral movement показывает настоящую цену первого взлома. Если одна рабочая станция открывает дорогу к серверам, домену, резервным копиям и файловым хранилищам, компания защищает не сеть, а фасад. Сильная защита строится вокруг простого принципа: каждый новый шаг атакующего должен требовать нового преодоления, оставлять след и быстро попадать в поле зрения команды безопасности.
Самый полезный вопрос после прочтения не «какой инструмент используют атакующие», а «какой маршрут откроется в нашей сети, если сегодня скомпрометируют обычную учетную запись». Ответ на такой вопрос обычно дает больше пользы, чем очередной список модных техник.
