Post Exploitation - Lateral Movement, Persistence
דוח M-Trends 2023 של Mandiant מגלה מספר שמשנה את כל ההבנה של איך תקיפות עובדות: median dwell time - הזמן שתוקף שוהה ברשת לפני שמזהים אותו - עומד על 16 יום. ב-2020 הוא עמד על יותר מ-100 יום. הקיצור הזה מסמן שהגנה השתפרה - אבל 16 יום זה עדיין שבועיים שלמים שבהם תוקף חי בתוך הרשת שלכם, מסתכל, מתרחב, ואוסף credentials.
התוקפים לא רצים. הם זזים לאט, מתמזגים עם תעבורת רשת רגילה, מקימים נקודות כניסה מרובות, ולוקחים credentials בשיטתיות. הסיבה שהם יכולים לעשות זאת היא Post Exploitation - מכלול הטכניקות שמאפשרות לעבור מ-"יש לי shell על מחשב אחד" ל-"אני שולט על כל ה-domain".
Lateral Movement Techniques
Pass-the-Hash
NTLM hash מ-LSASS = login ללא סיסמה. הסטנדרט בכל פנטסט Windows
Pass-the-Ticket
גניבת Kerberos TGT/TGS עם Mimikatz, ייבוא לsession פעיל
WMI Remote Exec
port 135 RPC. כלי ניהול לגיטימי = noise נמוך ל-EDR
PsExec / SMB
מעתיק service ל-ADMIN$ ומפעיל. רועש מאוד אך עובד תמיד
RDP
port 3389. Hands-on access. Mimikatz + WDigest = clear-text passwords
WinRM / PowerShell
port 5985/5986. legitimate management - קשה לאסור בכלל