Phần 16: Analyzing Lateral Movement and Pivoting IOCs

Lateral Movement (Di chuyển ngang)

Kỹ thuật kẻ tấn công di chuyển dần qua các hệ thống trong cùng mạng để tìm dữ liệu và tài sản quan trọng là mục tiêu cuối cùng.

Lateral Movement IOC

Dấu hiệu nghi ngờ như giao tiếp peer-to-peer bất thường giữa các host nội bộ.

Pivoting (Tấn công trung gian)

Việc sử dụng một máy đã bị xâm nhập để tấn công các máy khác trong cùng mạng.

Pivoting Purpose

Dùng hệ thống bị compromise làm bàn đạp để vượt qua các hạn chế, như cấu hình firewall.

Lateral Movement vs Pivoting

Hai khái niệm liên quan nhưng khác nhau:

• Lateral movement → quá trình di chuyển trong mạng

• Pivoting → kỹ thuật dùng một máy làm điểm trung gian tấn công

Pass the Hash (PtH)

Tấn công mạng trong đó kẻ tấn công đánh cắp giá trị hash của mật khẩu và dùng trực tiếp hash đó để xác thực, không cần crack mật khẩu gốc.

Pass the Hash Authentication

Hash có thể được dùng để xác thực với các giao thức như SMB và Kerberos.

Privilege Escalation via Pass the Hash

Khi PtH được dùng trên máy trạm cục bộ, kẻ tấn công có thể leo thang lên quyền quản trị viên (local admin).

Mimikatz

Ứng dụng mã nguồn mở cho phép trích xuất thông tin xác thực để thực hiện pass the hash.

LSASS (lsass.exe)

Tiến trình Windows xử lý và lưu trữ thông tin xác thực trong bộ nhớ, là mục tiêu của Mimikatz.

Exam Scope Note

Mimikatz không nằm trong phạm vi chi tiết của CySA+, nhưng có trong PenTest+ (CySA+ tập trung vào phát hiện & phòng thủ).

Domain Admin Account Misuse Warning

Tài khoản Domain Admin chỉ nên đăng nhập trên Domain Controller, tránh bị khai thác trong tấn công pass the hash.

Pass the Hash Detection Challenge

Rất khó phát hiện vì hoạt động xác thực trông giống hợp lệ.

Antimalware Blocking

Phần lớn antivirus/antimalware có thể chặn công cụ PtH như Mimikatz.

Protect High-Privilege Domain Accounts

Hạn chế và bảo vệ tài khoản miền có quyền cao.

Protect Local Administrator Accounts

Giảm quyền và kiểm soát chặt tài khoản local admin trên máy trạm.

Windows Firewall Restriction

Hạn chế kết nối inbound tới máy trạm, chỉ cho phép từ:

• Helpdesk

• Công cụ compliance/security

• Server được ủy quyền

Golden Ticket

Một loại vé Kerberos giả mạo cho phép kẻ tấn công tạo và cấp các vé Kerberos khác trong môi trường Active Directory.

Golden Ticket vs Pass the Hash

• Pass the Hash: Hoạt động tốt trên máy trạm cục bộ

• Golden Ticket: Cần thiết khi tấn công trong môi trường Active Directory dùng Kerberos

👉 Trong domain, Kerberos ticket quan trọng hơn hash thông thường.

Golden Ticket Capability

Golden Ticket có thể:

• Cấp quyền quản trị (admin) cho các thành viên domain

• Truy cập Domain Controller

• Di chuyển ngang (lateral movement) trên toàn bộ domain một cách dễ dàng

krbtgt Account

Tài khoản hệ thống đặc biệt trong Active Directory dùng để:

• Tạo Ticket Granting Ticket (TGT) trong Kerberos

krbtgt Hash

Giá trị hash của tài khoản krbtgt, được xem là:

• Trust anchor (mỏ neo tin cậy) của domain

• Tương đương private key của Root Certificate Authority

👉 Nếu kẻ tấn công có krbtgt hash → có thể tạo Golden Ticket hợp lệ.

Ticket Granting Ticket (TGT)

Vé Kerberos cho phép người dùng:

• Yêu cầu các vé dịch vụ khác

• Truy cập tài nguyên trong domain

Golden Ticket Impact

Golden Ticket cho phép kẻ tấn công:

• Giả mạo bất kỳ user nào

• Có quyền cao mà không cần mật khẩu

• Tồn tại lâu dài (persistence) trong domain

krbtgt Password Rotation

Quản trị viên nên:

• Thay đổi mật khẩu tài khoản krbtgt định kỳ

• Khi nghi ngờ bị xâm nhập:

  • Đổi mật khẩu krbtgt 2 lần liên tiếp trong thời gian ngắn

👉 Việc này sẽ vô hiệu hóa Golden Ticket đã bị tạo trước đó.

Golden Ticket Detection Note

• Golden Ticket cũ:

  • Không có trường domain name

  • → Dễ phát hiện trong log

• Golden Ticket mới:

  • Đã bổ sung domain name field

  • → Khó phát hiện hơn

Lateral Movement

Kỹ thuật tấn công cho phép kẻ xâm nhập di chuyển ngang trong mạng nội bộ, từ một host đã bị chiếm quyền sang các host khác.

Mục tiêu:

• Tìm dữ liệu quan trọng

• Truy cập server/Domain Controller

• Leo thang đặc quyền

Dấu hiệu Lateral Movement (IOC)

Các chỉ báo cho thấy hành vi di chuyển ngang đang xảy ra.

Ví dụ:

• Kết nối peer-to-peer bất thường giữa các máy trạm

• Một user đăng nhập vào nhiều máy trong thời gian ngắn

• Truy cập dịch vụ quản trị từ workstation thông thường

Insecure Passwords

Mật khẩu yếu, dùng lại hoặc chia sẻ làm tăng nguy cơ lateral movement.

Liên quan CySA+:

• Credential reuse

• Password spraying

• Pass the Hash

Remote Access Services

Các dịch vụ cho phép truy cập hệ thống từ xa qua mạng.

Ví dụ:

• SSH

• Telnet

• RDP

• VNC

Nguy cơ:
Nếu bị lộ thông tin xác thực → kẻ tấn công dùng để di chuyển ngang.

SSH

Giao thức truy cập từ xa có mã hóa, phổ biến trên Linux/Unix.

Lạm dụng:
Kẻ tấn công dùng SSH key hoặc mật khẩu đánh cắp để truy cập server khác.

Telnet

Giao thức truy cập từ xa không mã hóa.

Rủi ro:
Dễ bị nghe lén → thường xuất hiện trong câu hỏi thi về cấu hình yếu.

RDP (Remote Desktop Protocol)

Giao thức truy cập giao diện đồ họa từ xa của Windows (TCP 3389).

IOC:

• Đăng nhập RDP từ máy người dùng sang server

• Đăng nhập ngoài giờ hành chính

VNC

Giao thức điều khiển màn hình từ xa, bảo mật phụ thuộc cấu hình.

Liên quan thi:

• Remote access

• Lateral movement nếu xác thực yếu

WMIC

Công cụ dòng lệnh Windows cho phép quản trị và chạy lệnh trên máy từ xa.

Trong tấn công:

• Dùng để thực thi lệnh từ xa sau khi xâm nhập

• Hỗ trợ lateral movement giai đoạn post-exploitation

PsExec

Công cụ Sysinternals cho phép chạy lệnh từ xa với quyền SYSTEM.

Nguy hiểm:

• SYSTEM > Administrator

• Thường dùng để leo thang đặc quyền và di chuyển ngang

Windows PowerShell

Nền tảng tự động hóa và quản lý cấu hình của Windows (shell + scripting).

Vì sao nguy hiểm:

• Có sẵn trên hệ thống

• Khó phân biệt hợp pháp hay độc hại

• Hỗ trợ tải payload, chạy script từ xa

PowerShell Empire

Framework tấn công có sẵn nhiều module cho lateral movement.

Lưu ý thi:

• Không hỏi chi tiết tool

• Tập trung vào hành vi và kỹ thuật

PHÒNG CHỐNG LATERAL MOVEMENT (THI RẤT HAY RA)

• Áp dụng Least Privilege

• Hạn chế RDP / SSH / VNC

• Giám sát:

  • SMB, RDP, WMI, PowerShell

• Bật PowerShell logging

• Không dùng Domain Admin trên máy người dùng

Pivoting

Pivoting là kỹ thuật trong đó kẻ tấn công sử dụng một máy đã bị xâm nhập (pivot host) làm bàn đạp để tiếp tục tấn công các hệ thống khác bên trong mạng.

Ý chính khi thi:

• Pivot host = trung gian

• Dùng để vượt qua phân đoạn mạng (network segmentation)

Pivot Host

Hệ thống đã bị chiếm quyền và được dùng làm điểm trung chuyển lưu lượng tấn công sang các mạng hoặc subnet khác.

Liên quan IOC:

Máy người dùng bỗng tạo nhiều kết nối nội bộ

Traffic đi xuyên subnet không đúng vai trò

Pivoting vs Lateral Movement

• Pivoting: dùng 1 máy làm trung gian để tấn công máy khác

• Lateral Movement: khái niệm rộng hơn, mô tả toàn bộ quá trình di chuyển ngang

Lưu ý thi:
👉 Hai thuật ngữ thường bị dùng thay thế cho nhau, nhưng không hoàn toàn giống nhau

Port Forwarding

Kỹ thuật chuyển tiếp lưu lượng từ một cổng trên pivot host sang một cổng của host khác ở subnet khác.

Mục đích:

• Truy cập dịch vụ nội bộ không thể truy cập trực tiếp

• Vượt firewall hoặc ACL

Port Forwarding trong Pivoting

Ý nghĩa bảo mật:

• Attacker không cần kết nối trực tiếp tới mục tiêu cuối

• Pivot host che giấu nguồn tấn công thật

IOC:

• Lưu lượng bất thường giữa các subnet

• Cổng nội bộ bị truy cập từ máy không đúng vai trò

SSH Pivoting

Sử dụng SSH để tạo đường hầm (tunnel) phục vụ pivoting.

Chi tiết thi hay hỏi:

• Tham số -D trong SSH

• Tạo SOCKS proxy cục bộ

• Hỗ trợ port forwarding động

SSH -D Flag

Tham số -D cho phép SSH thiết lập local proxy, từ đó chuyển tiếp traffic qua pivot host.

Ví dụ ý tưởng:
Client → Pivot host → Mạng nội bộ khác

Proxy Chaining

Kỹ thuật xâu chuỗi nhiều proxy/pivot host để tiếp tục di chuyển sâu hơn trong mạng.

Mục tiêu:

• Che giấu nguồn tấn công

• Tiếp cận hệ thống quan trọng (mission-critical systems)

Mission-Critical Host

Hệ thống quan trọng sống còn với tổ chức (DC, database server, ERP, tài chính).

Liên quan Pivoting:
Pivoting thường được dùng để từng bước tiến gần các hệ thống này.