← Повышение привилегий: как в…Закрепление и его обнаружен… →

Боковое перемещение и сегментация

Одна захваченная машина — это плацдарм; ценность для атакующего в том, чтобы с неё дотянуться до остальных.

Боковое перемещение (lateral movement) — продвижение атакующего от уже захваченного узла к другим системам внутри той же сети, обычно с использованием легитимных учётных данных и протоколов.

Реальная цель атаки почти никогда не совпадает с точкой входа. Входят туда, где проще (рабочая станция рядового сотрудника), а добраться хотят до контроллера домена, файлового хранилища или базы с данными. Между этими точками лежит внутренняя сеть — и от того, как она устроена, зависит, пройдёт атакующий два шага или тридцать. Для защитника боковое перемещение — это самая длинная и потому самая «ловимая» фаза: у вас есть время заметить движение, пока злоумышленник ещё не дошёл до цели.

Зачем это знать защитнику

Плоская сеть, где «всё видит всё», превращает одну скомпрометированную машину в компрометацию всей инфраструктуры. Понимая логику перемещения, вы проектируете сеть так, чтобы каждый шаг атакующего требовал усилий и оставлял след. Цель обороны здесь — не идеальная стена по периметру (её всё равно когда-нибудь пробьют), а сдерживание внутри.

Как атакующий движется — концептуально

Механика бокового перемещения опирается на три вещи, и все они легитимны сами по себе:

ОпораЧто используетсяСигнал для защиты
Украденные учётные данныепароли, хеши, токены и тикеты, собранные на захваченном узлеодин аккаунт логинится на множестве хостов за короткое время
Штатные протоколы удалённого доступаSMB, RDP, SSH, WinRM, WMI — то, чем админы пользуются каждый деньадминистративный доступ между станциями, которым он не нужен
Доверительные связисервисные аккаунты с правами на многих машинах, доменные довериясервисный аккаунт ходит туда, куда обычно не ходит

Главная сложность для Blue Team в том, что по отдельности каждое действие выглядит нормально: админ может подключиться по RDP, сервисный аккаунт может читать файлы. Атакующий прячется именно в этой легитимности. Поэтому обнаружение строится не на «запрещённых» командах, а на аномалиях: непривычные пары «источник → назначение», необычное время, нетипичный объём.

Иллюстрация принципа в лаборатории

В учебной сети (две-три ВМ под вашим контролем) переход с узла на узел — это обычное подключение по штатному протоколу с валидными для стенда данными:

# лабораторный стенд: подключение к соседней учебной ВМ
ssh [email protected]      # тот же приём — основа lateral movement
# дальше атакующий повторил бы это от хоста к хосту по цепочке

Никакого секретного инструмента тут нет — это штатный ssh. Опасной эту технику делает не команда, а контекст: чужие украденные данные и движение туда, где у субъекта не должно быть доступа. Защита, соответственно, работает на уровне контекста, а не запрета протоколов.

Почему «крепкий периметр» не спасает

Классическая модель «жёсткая стена снаружи, доверие внутри» проигрывает именно на этой фазе. Стоит атакующему оказаться за периметром — фишингом, через подрядчика, через одну непропатченную службу, — как плоская внутренняя сеть сама достраивает ему маршрут. Внутренние сервисы доверяют друг другу «по умолчанию», и каждое такое доверие — бесплатный шаг для злоумышленника. Отсюда современный сдвиг: периметр считается уже пройденным, а основная работа защиты переносится внутрь — в сегментацию и проверку каждого запроса.

Как аномалия выглядит в логах

Обнаружение опирается на бейзлайн «нормального» поведения. Простейшая эвристика: один аккаунт за короткое время аутентифицируется на нетипично большом числе хостов. Идею легко выразить псевдокодом правила для SIEM:

for каждый аккаунт за окно 10 минут:
    hosts = множество хостов, куда он логинился
    if размер(hosts) > обычного_для_этого_аккаунта:
        поднять тревогу: возможное боковое перемещение

Ключевое слово — «обычного для этого аккаунта»: сервис-аккаунт мониторинга легитимно ходит на сотни машин, а вот бухгалтер, внезапно логинящийся на десяток рабочих станций, — явная аномалия. Поэтому детект всегда сравнивается с индивидуальным бейзлайном, а не с глобальным порогом.

Как это работает под капотом

Под боковым перемещением лежит простая идея: аутентификация без должной сегментации = транзитивное доверие. Если узел A доверяет узлу B, а B доверяет C, то, захватив A и собрав на нём учётные данные, атакующий наследует доступ к B и C. В плоской сети таких связей миллионы, и цепочка достраивается почти автоматически. В сегментированной сети с проверкой каждого запроса каждая связь — это отдельный барьер с логом.

Как защититься

  • Сегментация сети. Делите инфраструктуру на зоны (рабочие станции, серверы, критичные системы) и ограничивайте трафик между ними фаерволом. Микросегментация доводит идею до уровня отдельных нагрузок: разрешено только то, что явно нужно.
  • Zero-trust. «Никогда не доверяй, всегда проверяй»: каждый запрос аутентифицируется и авторизуется заново, независимо от того, что он «изнутри». Внутренний периметр перестаёт быть зоной автоматического доверия.
  • Гигиена учётных данных. Уникальные пароли локальных администраторов (например, через LAPS), отказ от лишних доменных админ-прав, защита сервисных аккаунтов, многофакторная аутентификация на удалённый доступ. Меньше переиспользуемых секретов — короче цепочка.
  • Обнаружение аномалий. Сводите логи аутентификации в SIEM и стройте бейзлайн «нормального»: кто откуда куда обычно ходит. Тревога — один аккаунт на десятке хостов за минуты, админ-логины между рабочими станциями, всплеск SMB/WMI-активности.
  • Ограничение административных путей. Управляйте серверами с выделенных защищённых станций (PAW), запрещайте прямой админ-доступ со случайных рабочих мест.

Юридическое напоминание: отрабатывать боковое перемещение можно только в своей сети, в учебной лаборатории или в рамках авторизованного пентеста. Несанкционированный доступ к чужим системам в сети наказуем (УК РФ ст. 272).

Итоги

  • Боковое перемещение — продвижение от плацдарма к настоящей цели через легитимные данные и протоколы.
  • Каждый шаг по отдельности выглядит нормально; обнаружение строится на аномалиях, а не на «запрещённых» командах.
  • В основе — транзитивное доверие плоской сети; сегментация и zero-trust разрывают цепочку.
  • Ключ к защите: сегментация, гигиена учётных данных, контроль админ-путей и анализ логов аутентификации в SIEM.
Проверьте себя
1. Почему боковое перемещение трудно обнаружить простыми правилами «запретить команду X»?
AОно использует только зашифрованные каналы, которые нельзя логировать
BКаждое действие по отдельности легитимно (админ может зайти по RDP), атакующий прячется в этой нормальности
CОно работает только ночью, когда логи отключены
DСовременные ОС вообще не пишут логи аутентификации
2. Какой подход напрямую разрывает цепочку транзитивного доверия в сети?
AУстановка более длинных паролей на один сервер
BОтключение SIEM, чтобы не плодить ложные тревоги
CСегментация сети и модель zero-trust с повторной проверкой каждого запроса
DПеревод всех сервисов на один общий админ-аккаунт