در امنیت شبکه، lateral movement یا حرکت جانبی فرآیندی است که توسط آن مهاجمان از یک نقطه ورودی به بقیه شبکه گسترش می یابند. متدهای مهاجمان در حرکت جانبی بسیار متنوع است. به عنوان مثال، یک حمله می تواند با بدافزار در رایانه رومیزی کارمند شروع شود. از آنجا، مهاجم سعی می کند به صورت جانبی حرکت کند تا رایانه های دیگر در شبکه و سرورهای داخلی را ،تا زمانی که به هدف نهایی خود برسند آاوده کند.

در واقع در حمله lateral movement ، مهاجم در تلاش است تا در محیط کاربر حرکت کند.

Lateral Movement یا حرکت جانبی یک تاکتیک کلیدی است که تهدید‌های پیشرفته و مستمر یا APTها را از حملات سایبری ساده‌انگارانه گذشته متمایز می‌کند. Lateral Movement به عامل تهدید این امکان را می‌دهد که حتی در صورت شناسایی شدن در ماشینی که در ابتدا مورد حمله قرار گرفته بود، نیز از شناسایی شدن مصون مانده و دسترسی آن حفظ شود.

حرکت جانبی شامل تکنیک هایی است که عوامل مخرب برای ورود و کنترل سیستم های ریموت در یک شبکه استفاده می کنند. دنبال کردن هدف اصلی آنها اغلب مستلزم مانیتورینگ شبکه و متعاقباً دسترسی به آن است. دستیابی به هدف مهاجمین اغلب شامل بررسی از طریق چندین سیستم و اکانت است. دشمنان ممکن است ابزارهای دسترسی ریموت خود را برای انجام Lateral Movement نصب کنند یا از اعتبارنامه های قانونی با ابزارهای شبکه بومی و سیستم عامل استفاده کنند، که ممکن است مخفیانه تر باشد.

هدف مهاجمان در حرکت جانبی ، ناشناس ماندن و پیشگیری از ردیابی شدن است. اما حتی اگر یک آلودگی در دستگاه اولیه کشف شود، یا اگر فعالیت های آنها شناسایی شود، مهاجم می تواند در صورت آلوده کردن طیف گسترده ای از دستگاه ها، حضور خود را در شبکه همچنان حفظ کند.

گروهی از سارقان را تصور کنید که از پنجره باز وارد خانه می شوند و سپس هر کدام به اتاق دیگری در خانه می روند. حتی اگر یک سارق در یک اتاق کشف شود، بقیه می توانند به سرقت اشیا ادامه دهند. به طور مشابه، حرکت جانبی مهاجم را قادر می‌سازد تا وارد «اتاق‌های» مختلف یک شبکه ،سرورها، نقاط پایانی و دسترسی برنامه‌های وب شود که مهار حمله را دشوار می‌کند.

• امنیت نقطه پایانی چیست؟
• سرویس Remote Exploit چیست؟

در حالی که برخی از جنبه های آن ممکن است خودکار باشد، حرکت جانبی اغلب یک فرآیند دستی است که توسط یک مهاجم یا گروهی از مهاجمان هدایت می شود. این رویکرد عملی به مهاجمان این امکان را می‌دهد تا روش‌های خود را با شبکه مورد نظر تنظیم کنند. همچنین به آنها اجازه می دهد تا به اقدامات متقابل امنیتی اعمال شده توسط مدیران شبکه و امنیتی به سرعت پاسخ دهند.

در تکنیک های حرکت جانبی مجرمان سایبری برای کشف یک شبکه آلوده برای یافتن آسیب‌پذیری‌ها، افزایش امتیازات دسترسی و رسیدن به هدف نهایی خود استفاده می‌کنند. به دلیل نحوه حرکت هکر از دستگاهی به برنامه دیگر و غیره به آن حرکت جانبی گفته می شود.

حملات سایبری از طریق حرکت جانبی به هیچ وجه تهدیدات جدیدی نیستند، اما یکی از نگرانی های فزاینده برای متخصصان امنیت شبکه، تلاش های مهاجمان برای حرکت جانبی پس از آلوده شدن سیستم ها و شبکه ها از طریق انواع بدافزار و ویروس ها است. یک گزارش اخیر بیان می کند که حرکت جانبی در 25 درصد از تمام حملات سایبری دیده شده است.

برخی از نمونه‌های مسیرهای حرکت جانبی (LMP) که مجرمان در یک سیستم آلوده دنبال می‌کنند عبارتند از:

• فیشینگ داخلی نیزه ای :

زمانی است که شخصی با هک کردن حساب کاربری و سپس هدف قرار دادن افراد یا گروه های خاص در سازمان، به شبکه ایمیل یک شرکت دسترسی پیدا می کند.

• حملات عبور از هش (PtH) :

حملات PtH ، هنگامی که هکر هش یک رمز عبور را که توسط یک سیستم رمزگذاری ایجاد می شود، دریافت می کند و آن را از طریق سیستم احراز هویت عبور می دهد تا به آن دسترسی پیدا کند.

• حملات ارسال تیکت (PtT) :

این حملات زمانی اتفاق می‌افتد که مهاجم به داخل دسترسی پیدا می‌کند و بلیت‌های Kerberos را می‌دزدد تا به رایانه‌ها یا فایل‌های دیگر دسترسی پیدا کند.

• معرفی محصول FortiMail

• اکسپلویت خدمات از راه دور :

وقتی که یک مهاجم از دسترسی شخصی به خدمات از راه دور مانند کنفرانس های ویدئویی زوم برای دسترسی به منابع حساس در یک شرکت استفاده می کند.

• ربودن Secure Shell (SSH)، SSH :

کاربران را قادر می‌سازد تا به سیستم‌های macOS و Linux دسترسی داشته باشند، و ربودن SSH زمانی است که یک هکر جلسه SSH یک کاربر قانونی را برای حرکت جانبی برای آلوده کردن سایر کاربران یا سیستم‌ها به کار می‌گیرد.

• به اشتراک گذاری ادمین ویندوز :

اشتراک‌گذاری‌های مدیریت ویندوز به هکرها امکان می‌دهد به رایانه‌های کاربر متصل به شبکه دسترسی پیدا کند، بنابراین هکرها آنها را می‌دزدند تا آلودگیها را به رایانه‌های دیگر منتقل کنند.

این نمونه‌های حرکت جانبی نشان می‌دهند که مهاجمان از سوءاستفاده سیستماتیک آسیب‌پذیری برای استخراج داده‌ها و یا سرقت اعتبار برای دستیابی به شبکه استفاده می‌کنند.