Cyberattaques : en quoi consiste le déplacement latéral ?

La notion de déplacement latéral, ou latéralisation, est présente dans toutes les descriptions de l’enchaînement des phases de cyberattaques. Il y a une très bonne raison à cela : c’est une étape importante de la cinétique d’attaque. Décryptage avec Lindsay Kaye, directrice senior de l’Insikt Group de Recorded Future, en charge des résultats opérationnels.

LeMagIT : Qu’appelle-t-on déplacement latéral ?

Lindsay Kaye : La phase de déplacement latéral d’une attaque est celle où l’assaillant cherche d’autres systèmes à compromettre sur le réseau. En général, l’acteur menaçant [de l’anglais Threat Actor, N.D.L.R.] accède à un système et, à partir de là, cherche d’autres cibles sur le réseau, comme des serveurs ou d’autres points d’extrémité [postes de travail ou serveurs, N.D.L.R.] qu’il peut vouloir compromettre, utiliser pour la persistance ou qui contiennent des données intéressantes.

LeMagIT : À quel moment de la cinétique d’attaque intervient le déplacement latéral ?

Lindsay Kaye : Le déplacement latéral survient après l’obtention de l’accès initial et peut permettre à l’acteur de la menace d’obtenir des informations d’identification supplémentaires pour accéder à d’autres systèmes sur le réseau, ou de découvrir d’autres systèmes à compromettre ou des données intéressantes.

Il peut également permettre à l’acteur de la menace d’identifier un mécanisme de persistance pour s’assurer qu’il ne perd pas l’accès au réseau, ou aux systèmes ou applications du réseau pouvant être utilisés pour l’élévation des privilèges.

LeMagIT : D’où vient cette expression ?

Lindsay Kaye : Bien que je ne sois pas sûre de la véritable origine de l’expression, le déplacement latéral représente l’idée que l’acteur de la menace n’accède pas seulement au système victime initial, mais qu’il peut également accéder à d’autres ressources, telles que des applications, des données ou des machines, sur le réseau.

LeMagIT : Quels sont les signaux observables du déplacement latéral ?

Lindsay Kaye : Ils peuvent varier en fonction de la technique employée, mais généralement, ces types de techniques visent les services [d’accès] à distance ou les utilitaires qui permettent l’accès entre les systèmes du réseau.
À titre d’exemple, citons l’utilisation abusive des partages SMB/Windows admin pour transférer des outils, l’utilisation d’informations d’identification volées pour accéder à SSH, RDP, telnet ou VNC, ou l’utilisation abusive de tickets Kerberos volés pour s’authentifier sur un système sans avoir le mot de passe.

LeMagIT : Comment détecter ces signaux ?

Lindsay Kaye : La détection des déplacements latéraux, selon la technique utilisée, comprend les éléments suivants : recherche d’événements d’authentification en corrélation avec d’autres comportements suspects, recherche d’accès anormaux dans les sources de journaux (applicatifs ou réseau) ou aux ressources (telles que les partages SMB, SSH ou RDP), et tout artefact d’outils malveillants ou de logiciels malveillants connus (tels que les tuyaux nommés, les condensats de fichiers malveillants ou les noms de fichiers).

LeMagIT : Quels résultats peut-on attendre de la détection des mouvements latéraux ?

Lindsay Kaye : Le déplacement latéral se produit avant le dépôt de la charge utile finale, qu’il s’agisse d’un ransomware, d’un malware utilisé avec le soutien d’un État ou d’autres outils malveillants. Par conséquent, la détection des déplacements latéraux est essentielle pour les défenseurs, car elle peut leur permettre d’arrêter une attaque avant que des dommages supplémentaires ne soient causés ou que des données supplémentaires ne soient acquises.

LeMagIT : Si l’on détecte et arrête une attaque après avoir identifié un déplacement latéral, dispose-t-on de suffisamment d’indices pour évaluer les objectifs de l’attaquant, ou même commencer à attribuer l’attaque à un acteur connu de la menace ?

Lindsay Kaye : Cela dépend fortement des outils utilisés par l’acteur de la menace, mais en général, de nombreux types d’acteurs de la menace, qu’ils soient criminels ou étatiques, utilisent les mêmes types d’outils et de techniques.

Il s’agit notamment de Cobalt Strike, de l’utilisation de techniques d’infiltration, du détournement de ressources réseau légitimes telles que les partages ou les utilitaires d’accès à distance, ou d’outils malveillants ouvertement disponibles qui ne sont pas associés à un acteur de la menace en particulier.

Par conséquent, il est peu probable qu’une analyse basée uniquement sur l’étape du déplacement latéral fournisse suffisamment d’éléments pour établir un lien avec un acteur de la menace particulier.

Mais si ces éléments sont utilisés conjointement avec d’autres sources de données telles que les vecteurs d’accès initiaux ou les outils personnalisés abandonnés, il est possible d’y parvenir.