Skip to content

Un attaquant a pris pied sur un hôte. Quels signes de mouvement latéral chercheriez-vous ?

Réponse courte

Le mouvement latéral, c'est un attaquant qui utilise un point d'appui pour atteindre d'autres systèmes. Les signes incluent des logons réseau inattendus (type 3) et RDP (type 10), l'accès aux partages admin comme C$ et ADMIN$, des outils d'exécution distante tels que PsExec, WMI et WinRM, des motifs de pass-the-hash, et un compte normalement local qui s'authentifie soudain sur de nombreux hôtes.

Une fois qu'un attaquant tient une machine, le vrai dommage vient de sa propagation vers d'autres — vers les contrôleurs de domaine, les serveurs de fichiers et les données les plus sensibles. Détecter le mouvement latéral est un travail de SOC à forte valeur, d'où cette question senior. La bonne réponse nomme des signaux concrets et observables.

Motifs d'authentification

Les signaux les plus clairs sont dans les logons. Surveillez les logons réseau (type 3) et RDP (type 10) vers des hôtes qu'un utilisateur ne touche jamais normalement, et surtout un compte qui s'authentifie sur de nombreuses machines dans une courte fenêtre. Un compte local ou de service qui s'étend soudain largement est un indice classique. Des rafales d'activité Kerberos ou NTLM depuis une source inhabituelle comptent aussi.

Outils d'exécution distante

Les attaquants se déplacent via des mécanismes d'exécution distante intégrés : PsExec (création d'un service sur la cible), WMI (wmic/Win32_Process) et WinRM/PowerShell Remoting. Dans les logs, cela apparaît comme une création de service distante (event 7045 / 4697), des arbres de processus 4688 suspects et des connexions WinRM. L'usage living-off-the-land d'outils d'administration est délibéré — il se fond dans le décor.

Abus de credentials

Le pass-the-hash et le pass-the-ticket permettent à un attaquant de s'authentifier avec du matériel d'identification volé sans le mot de passe en clair, vous pouvez donc voir des logons réussis sans entrée interactive de credentials correspondante. Le dumping de LSASS sur l'hôte source est un signal en amont à corréler.

Accès aux partages et ressources

Les connexions aux partages administratifs (C$, ADMIN$, IPC$) depuis des sources inattendues précèdent souvent l'exécution distante et la préparation de fichiers.

Détecter par corrélation

Aucun événement isolé ne prouve un mouvement latéral ; vous corrélez le type de logon, la source/destination, le compte et l'outillage qui suit. Mapper ces éléments sur la tactique Lateral Movement d'ATT&CK aide à structurer la chasse.

Pourquoi c'est important

Attraper le mouvement entre le point d'appui initial et l'objectif est ce qui limite le rayon d'impact. Un analyste qui peut décrire ces signaux concrètement montre qu'il sait chasser un intrus actif, et pas seulement lire une alerte isolée.

Questions de suivi probables

  • Comment fonctionne le pass-the-hash et qu'est-ce qui le rend difficile à repérer ?
  • Sur quels event IDs Windows et types de logon pivoteriez-vous ?
  • Pourquoi les comptes de service sont-ils une cible privilégiée pour le mouvement latéral ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.