»
Латеральное перемещение и захват домена
После того как злоумышленник закрепился на одной машине, начинается фаза горизонтального движения по сети. Цель — не просто получить доступ к другим компьютерам, а найти и захватить ключевые активы: контроллеры домена, серверы управления, хранилища данных. Для этого используются как уязвимости в сетевых службах, так и кража учетных данных. Например, атака Pass-the-Hash позволяет использовать захваченный хеш пароля для аутентификации на других системах без его расшифровки. Атака Kerberoasting нацелена на получение хешей паролей учетных записей служб в домене Active Directory, которые затем можно попытаться взломать офлайн. Постепенно атакующий собирает достаточно прав, чтобы атаковать сам домен. Здесь в ход идут такие техники, как DCSync — когда злоумышленник, получивший права администратора домена, может напрямую запросить у контроллера домена хеши паролей всех пользователей. Или Golden Ticket — создание поддельного билета Kerberos, который дает неограниченный доступ к любым ресурсам домена. После этого вся инфраструктура фактически принадлежит ему.
Эксплуатация и финальная цель
Когда домен под контролем, начинается эксплуатация. Это не хаотичный вандализм, а целенаправленное извлечение ценности. Цели могут быть разными: кража интеллектуальной собственности, промышленный шпионаж, подготовка к атаке на контрагентов, шифрование данных для выкупа, уничтожение информации. Атакующий может месяцами находиться в сети, изучая её структуру, выявляя наиболее ценные активы и планируя финальный удар. Он не просто крадёт файлы — он может подменить конфигурацию серверов, изменить маршрутизацию, внедрить бэкдоры в системы обновления, чтобы сохранить доступ даже после чистки. Финальная цель определяет, как будет выглядеть финальная стадия атаки: это может быть тихая, многолетняя утечка данных или громкий, разрушительный инцидент, который парализует работу компании.
Что делать: стратегия защиты
Защита от такого сценария, это не установка одного антивируса. Это многоуровневая стратегия, которая должна работать на всех этапах атаки.
- На этапе проникновения: фильтрация входящего трафика, блокировка подозрительных доменов и IP-адресов, обучение сотрудников распознаванию фишинга.
- На этапе закрепления: мониторинг процессов, особенно тех, которые используют техники вроде process hollowing или reflective loading. Внедрение решений для защиты конечных точек (EDR/XDR).
- На этапе латерального перемещения: сегментация сети, контроль за аутентификацией, регулярный аудит привилегированных учетных записей.
- На этапе захвата домена: защита контроллеров домена, мониторинг событий, связанных с Kerberos и репликацией, использование защищенных административных рабочих станций.
Ключевой принцип — не пытаться создать неприступную стену, а сделать так, чтобы каждая попытка атаки была максимально шумной и заметной для систем мониторинга. Это позволяет перехватить злоумышленника до того, как он достигнет критических активов.