Grupos de ransomware e APTs não comprometem um sistema e param por aí. O acesso inicial — seja via phishing, exploração de vulnerabilidade web ou credencial vazada — é apenas a porta de entrada. O que acontece depois é que determina o impacto real do ataque: movimentação lateral, escalada de privilégios, persistência e, eventualmente, exfiltração de dados ou implantação de ransomware.
O que é movimentação lateral?
Movimentação lateral (lateral movement) é o conjunto de técnicas que um atacante usa para se mover de um sistema comprometido para outros sistemas da rede, progressivamente ganhando acesso a recursos de maior valor. O objetivo final varia — acesso ao Active Directory, dados financeiros, propriedade intelectual — mas o caminho é sempre o mesmo: de um ponto de apoio inicial até o ativo de alto valor.
Técnicas mais usadas em ambientes Windows
Pass-the-Hash (PtH): O Windows armazena hashes NTLM de credenciais na memória. Um atacante que extrai esses hashes com Mimikatz pode autenticar em outros sistemas da rede sem precisar da senha em texto claro. Quanto mais sistemas compartilham credenciais de administrador local, mais rápida é a propagação.
RONDO SECURITY
Segurança ofensiva especializada
Sua infraestrutura está exposta?
Nossa equipe realiza avaliações com a mesma mentalidade de um atacante real — identificando vetores de ataque antes que sejam explorados.
Pass-the-Ticket: Variação do PtH usando tickets Kerberos ao invés de hashes NTLM. Tickets TGT e TGS roubados permitem autenticação em qualquer serviço para o qual aquele ticket seja válido.
Remote Service Execution: Com credenciais válidas, atacantes usam protocolos legítimos — SMB (via PsExec), WMI, WinRM, RDP — para executar código em sistemas remotos. Ferramentas de administração legítimas são frequentemente abusadas porque geram pouco ruído nos logs.
Por que a detecção é difícil
A movimentação lateral frequentemente usa ferramentas e protocolos legítimos — WMI, PSRemoting, SMB, RDP. Diferenciar um administrador legítimo de um atacante usando as mesmas ferramentas requer correlação de contexto, baseline de comportamento e análise de sequência temporal de eventos.
Contenção: onde a maioria das empresas falha
As falhas de contenção mais comuns observadas em exercícios de Red Team incluem falta de segmentação de rede, tempo excessivo entre detecção e bloqueio, ausência de playbooks de resposta a incidentes e credenciais de administrador local idênticas em todos os workstations.
Como o Red Team testa isso
Em um exercício de Red Team, simulamos um atacante real e medimos quanto tempo leva para chegar ao objetivo definido, e quanto tempo leva para o Blue Team detectar e conter o movimento. O MTTD médio em nossos exercícios no Brasil ainda supera 72 horas — tempo mais do que suficiente para implantação de ransomware em toda a rede. Solicite um Red Team para medir sua capacidade real de detecção.
Achou útil? Compartilhe com sua equipe
Rondo Security
Equipe técnicaOSCP · CEH · PenTest+ · CySA+ · Security+
Especialistas em segurança ofensiva. Realizamos pentests de aplicações web, mobile, APIs, infraestrutura e ambientes cloud. Operamos Red Team, engenharia social e avaliações de conformidade para organizações no Brasil e exterior.
Newsletter
Receba conteúdo como este
Análises técnicas, guias e alertas de segurança diretamente no seu e-mail.
Sem spam. Cancelamento imediato.
Comentários
Deixar um comentário
