Van machine A naar machine B. Reizen door een netwerk alsof het een treinnetwerk is, behalve dat niemand je kaartje controleert en er geen vertraging is. Dus eigenlijk helemaal niet als een treinnetwerk.
Bestand
Wat het doet
lateral_wmi
WMI: Windows Management Instrumentation. Processen starten op een remote machine via een ingebouwd beheermechanisme. Het is bedoeld voor systeembeheer. Het is ook heel geschikt voor systeemmisbruik. Het verschil is documentatie.
lateral_psremoting
PowerShell Remoting: Enter-PSSession en Invoke-Command. Alsof je SSH doet, maar dan met meer XML. Veel meer XML. Een ongezonde hoeveelheid XML.
lateral_scm
Service Control Manager: een service aanmaken op een remote machine die jouw payload uitvoert. De machine start je code op als een dienst. Letterlijk.
lateral_dcom
DCOM via MMC20.Application: een COM-object op een remote machine aanroepen dat een commando uitvoert. Het is een ingebouwde Windows-functie. Bedankt, Windows.
lateral_dcom_excel
DCOM via Excel.Application: als Office geïnstalleerd is, kun je Excel misbruiken om code uit te voeren op een remote machine. Spreadsheets zijn gevaarlijker dan je denkt. En je denkt al dat ze gevaarlijk zijn.
lateral_winrm
WinRM met evil-winrm: een comfortabele shell via het Windows Remote Management protocol. “Comfortabel” en “shell” in dezelfde zin — dat krijg je niet vaak.
lateral_psexec
PsExec: de klassieker. Een service installeren op de doelmachine die jouw commando uitvoert. Het is het Zwitsers zakmes van lateral movement. Iedereen kent het. Elke EDR kent het. Het werkt nog steeds. Dat zegt iets over EDR’s.
lateral_smbexec
SMBExec: remote executie via SMB-shares zonder een service-binary te uploaden. Discreter dan PsExec. Minder opvallend. Hetzelfde resultaat. Het is PsExec in een regenjas en een zonnebril.
lateral_atexec
AtExec: commando’s uitvoeren via de Task Scheduler. Een geplande taak aanmaken die onmiddellijk draait. Het is alsof je een afspraak maakt voor nu. Technisch gepland. Praktisch direct.
lateral_ntlmrelay
NTLM relay: opgevangen authenticatie doorsturen naar een ander systeem. Machine A stuurt zijn credentials naar jou. Jij stuurt ze door naar machine B. Machine B denkt dat jij machine A bent. Identiteitsfraude in drie stappen.
lateral_scshell
SCShell: fileless lateral movement door service binaries aan te passen. Geen bestanden op schijf. Geen nieuwe services. Alleen een bestaande service die nu iets anders doet. Stilte. Efficiëntie. Geen sporen.
lateral_sccm_deploy
SCCM als lateral movement vector: applicaties of scripts deployen naar doelmachines via de SCCM-infrastructuur. De systeembeheerder gebruikt het om software te installeren. Jij gebruikt het om shells te installeren. Zelfde knop. Ander resultaat.
lateral_wsmanwinrm
WinRM met WSMan provider en Attack Surface Reduction bypass. WinRM, maar dan via een route die ASR-regels niet verwachten. Omdat de regels werden geschreven voor de bekende paden. En jij neemt het onbekende pad.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.