Útočník ve vaší síti nepotřebuje nic instalovat. Používá nástroje, které tam jsou od začátku, a přitom vypadá jako váš správce. Jak vypadá laterální pohyb v síťovém provozu?
Protokoly a nástroje využívané při laterálním pohybu, například SMB, RDP, PSExec nebo LLMNR, nejsou samy o sobě nijak podezřelé. Jsou běžnou součástí prostředí Windows a správci je používají každý den. Útočníci toho záměrně využívají: snadno splynou s legitimním provozem, nepozorovaně se přesouvají mezi zařízeními, a postupně získávají další přístupy, aniž by na sebe okamžitě upozornili.
Tento článek vás provede tím, jak laterální pohyb vypadá v síťovém provozu, které varovné signály si zaslouží vaši pozornost, a jak při jejich vyšetřování postupovat. Každá část staví na konkrétním detekčním vzorci, který můžete sledovat i ve vašem vlastním prostředí.
Uvedené příklady vycházejí z NDR nástroje GREYCORTEX Mendel. Popsané principy jsou ale použitelné všude tam, kde máte k dispozici dostatečně podrobný přehled o síťové komunikaci.
Čtyři protokoly, které útočníci zneužívají
Podívejme se na čtyři konkrétní příklady laterálního pohybu a na signály, které byste měli v síťovém provozu sledovat.
SMB a sdílené složky Windows
Server Message Block (SMB) tvoří samostatnou páteř sdílení souborů v prostředí Windows. Legitimní SMB provoz je všudypřítomný, a právě proto ho útočníci využívají.
Specifické riziko představuje neoprávněný přístup ke správcovským sdíleným složkám Windows, zejména ADMIN$. Znak dolaru označuje skrytou sdílenou složku, která se při procházení sítě nezobrazuje, ale poskytuje přímý přístup do systémového adresáře Windows na vzdáleném zařízení. Jakmile k ní útočník získá přístup, může libovolně kopírovat soubory, spouštět skripty a přesouvat své útočné nástroje po síti, aniž by se jakkoliv dotkl perimetru.
Co zachytí Mendel
Neobvyklý přístup ke složce ADMIN$ Mendel okamžitě zachytí a zaznamená jako bezpečnostní událost. Z detailu této události pak můžete přejít do aplikační vrstvy příslušného toku a ověřit tři věci:
- verzi protokolu SMB,
- konkrétní cestu ke sdílené složce,
- operace se soubory spojené s touto relací.
Legitimní správce se při připojení k ADMIN$ obvykle chová jinak než útočník. Varovným signálem je zejména situace, kdy po získání přístupu bezprostředně následuje spuštění souboru nebo jiná operace, což je v datech toku jasně viditelné.
Podrobnější zkoumání dat o relaci může odhalit například spuštění souboru python.exe v rámci aktivního připojení ke sdílené složce ADMIN$. To je aktivita, kterou rutinní správcovská úloha standardně nikdy nevygeneruje.
Checklist
✅ Kdo spojení inicioval: Porovnejte zdrojovou IP adresu se seznamem známých správcovských účtů a záznamy o plánovaných změnách.
✅ Co se stalo po přístupu: Zkontrolujte, zda na přístup navazovalo spuštění skriptu nebo kopírování souborů, což jsou silné indikátory škodlivého záměru.
PSExec
PSExec je odlehčený nástroj pro vzdálenou správu. Správci ho s oblibou používají ke spouštění příkazů na vzdálených zařízeních, aniž by museli otevírat plnou relaci vzdálené plochy. Útočníci ho využívají ze stejného důvodu.
Co dělá PSExec v síťovém provozu snadno rozpoznatelným, je specifický způsob, jakým funguje. Při každém spuštění vytvoří na cílovém zařízení dočasnou službu nazvanou PSEXESVC běžící přes SMB port 445 na protokolu TCP. Tato událost vytvoření služby je v datech toku viditelná a patří k nejspolehlivějším indikátorům laterálního pohybu, které lze v síti vůbec najít.
Co zachytí Mendel
Mendel nejprve zobrazí připojení přes IPC$, po kterém bezprostředně následuje událost vytvoření služby. Při podrobnější analýze toku pak můžete dohledat přesný příkaz, který byl spuštěn. Na rozdíl od šifrovaných protokolů vám aktivita PSExec na této vrstvě poskytne zcela čitelný důkaz o tom, co bylo na vzdáleném zařízení spuštěno.
Checklist
✅ Kdo příkaz spustil: Porovnejte zdrojovou IP adresu se seznamem ověřených správcovských účtů. Zbystřete, pokud se služba PSEXESVC objeví mimo pracovní dobu nebo na stroji, který nemá žádnou historii vzdálené správy.
✅ Co bylo spuštěno: Přejděte do detailu toku a zkontrolujte příkaz provedený přes PSEXESVC. Cokoliv mimo rutinní správcovské úkoly si zaslouží vaši pozornost.
RDP
Remote Desktop Protocol (RDP) patří k nejrozšířenějším nástrojům v každém IT prostředí a zároveň k těm nejčastěji zneužívaným. Útočníkovi s platnými přihlašovacími údaji stačí otevřít plnou interaktivní relaci na jakémkoliv zařízení s povoleným RDP a odtud se snadno dostane ke všemu, k čemu má daný stroj přístup.
Samotný RDP provoz je sice šifrovaný, takže obsah relace není vidět, ale doprovodná metadata relace poskytují překvapivě mnoho informací.
Co zachytí Mendel
Mendel přehledně zobrazí metadata relace:
- zdrojovou IP adresu,
- cílovou IP adresu,
- délku trvání,
- zemi původu.
Právě délka trvání je mnohem důležitější, než se může na první pohled zdát. Krátká RDP relace z interní sítě nemusí na první pohled vypadat podezřele. Klíčovou otázkou je, co se dělo na zdrojovém zařízení předtím. Zaměřte se na předchozí aktivitu zařízení, ze kterého relace vzešla. Pokud jí předcházela neobvyklá komunikace nebo přístup k systémům, ke kterým zařízení běžně nepřistupuje, relace zapadá do širšího vzorce.
Klíčovým krokem vyšetřování je analýza toho, co následuje po skončení relace. Pomocí Peers grafu snadno zjistíte, kam se kompromitované zařízení připojilo poté. Právě v těchto návazných krocích se laterální pohyb zviditelňuje jako logický řetězec událostí.
Checklist
✅ Jaký je zdroj relace: Prověřte předchozí aktivitu zdrojového zařízení a ověřte, zda před spuštěním relace nedocházelo k neobvyklé komunikaci. (Nečekaná země původu v kombinaci s varováním z reputačních databází typu VirusTotal je jasný signál k akci.)
✅ Co následovalo po relaci: Zkontrolujte v Peers grafu, zda kompromitované zařízení navázalo neočekávaná interní spojení s dalšími prvky v síti.
LLMNR Poisoning
Link-Local Multicast Name Resolution (LLMNR) funguje jako záložní protokol pro překlad názvů. Pokud Windows zařízení nedokáže přeložit název hostu přes DNS, odešle do lokální sítě multicastový dotaz s otázkou, zda někdo danou adresu zná.
Problém spočívá v tom, že odpovědět může jakékoliv zařízení v síti. Útočník může tento dotaz zachytit, odpovědět na něj vlastní IP adresou a následně od dotazujícího se stroje získat hash přihlašovacích údajů, který se posílá jako součást autentizačního handshake. Dotazující se zařízení přitom netuší, že komunikovalo s falešným respondentem.
Co zachytí Mendel
Mendel zachytí obě strany výměny: multicastový dotaz na UDP portu 5355 a unicast odpověď zpět na stejný port 5355. Legitimní odpověď přichází od zařízení, které daný název hostu skutečně vlastní. Pokus o poisoning se projeví unicast odpovědí z neočekávané IP adresy, která nemá s dotazujícím zařízením žádnou předchozí komunikační historii.
Checklist
✅ Kdo odpověděl: Porovnejte IP adresu respondenta s očekávaným vlastníkem daného názvu hostu a ověřte, zda mezi nimi existuje předchozí komunikační historie. Neočekávaný responder bez jakýchkoli vazeb je jasný důvod k poplachu.
Kombinace detekčních metod pro spolehlivější odhalení útoků
Laterální pohyb se zpravidla neprojeví jedním izolovaným signálem. Skutečné podezření často vzniká až ve chvíli, kdy se několik událostí propojí do jednoho kontextu.
Samotný přístup ke sdílené složce ADMIN$ může být naprosto legitimní. Totéž platí pro běžnou RDP relaci nebo vytvoření služby na vzdáleném zařízení. Pokud ale po neobvyklém RDP připojení následuje komunikace s novými interními zařízeními, přístup přes ADMIN$ a spuštění příkazu prostřednictvím PSEXESVC, situace už vyžaduje pozornost.
GREYCORTEX Mendel proto kombinuje více detekčních přístupů:
- Behaviorální analýza neustále sleduje běžný provoz a upozorňuje na jakékoliv odchylky.
- IDS souběžně zachytává známé útočné techniky a signatury, a to nezávisle na tom, zda chování vykazuje anomálie.
- Analýza logů doplňuje síťová data o události ze zařízení a aplikací, která v síťových tocích neuvidíte.
Pro analytika je důležité, že může všechny signály vyhodnocovat společně. Nejde pouze o počet alertů, ale o schopnost rekonstruovat posloupnost událostí a určit, kde s vyšetřováním začít.
Laterální pohyb zanechává stopy
Laterální pohyb je detekovatelný. Signály jsou přítomné v síťovém provozu na každém z protokolů, které jsme v tomto článku popsali. O tom, zda útok včas zachytíte, nerozhoduje technologická sofistikovanost útočníka. Vše stojí a padá s hloubkou viditelnosti ve správných segmentech sítě a se znalostí toho, co přesně hledat, když vyskočí první varování.
Právě detailní síťová viditelnost vám umožňuje přesně dohledat, co se v prostředí skutečně odehrálo, a vrátit se k událostem i zpětně. GREYCORTEX Mendel vám pomůže tyto stopy zachytit, analyzovat, a zasadit je do širšího kontextu celého vyšetřování.
Chcete vidět detekční vzory z tohoto článku přímo v praxi?
Kategorie
- Novinky (21)
- Produktové novinky (11)
- IT/OT bezpečnost (29)
- Webináře (7)