Lateral Movement (TA0008): Moviéndose por la Red
Análisis completo de la táctica Lateral Movement de MITRE ATT&CK (TA0008): técnicas de movimiento lateral en redes corporativas. PsExec, WMI, RDP, SMB, Pass-the-Hash, Pass-the-Ticket, y detección de cada técnica para SOC y threat hunting.
Lateral Movement es la fase donde el atacante se mueve de sistema en sistema hacia sus objetivos finales
La táctica Lateral Movement (TA0008) documenta las técnicas que los adversarios usan para moverse a través de la red, desde el sistema comprometido inicialmente hacia los objetivos de alto valor: Domain Controllers, servidores de archivos, bases de datos, servidores de backup. Es la fase con mayor ventana de detección en un ataque de ransomware (3-7 días típicamente).
Técnicas principales
T1021: Remote Services
T1021.001: Remote Desktop Protocol (RDP)
RDP es el método más intuitivo: el atacante se conecta con credenciales robadas y opera el sistema remoto como si estuviera sentado frente a él.
Indicadores:
- Event 4624 logon type 10 (RemoteInteractive) desde hosts inusuales
- Event 1149 (RDP user authentication) en Terminal Services
- Sysmon Event 3: conexiones al puerto 3389 entre endpoints
- Sesiones RDP entre workstations (lateral, normalmente solo workstation → servidor)
Detección avanzada:
- RDP lateral (workstation → workstation) es casi siempre malicioso en entornos corporativos
- RDP fuera de horario laboral desde cuentas no administrativas
- Múltiples sesiones RDP en paralelo desde la misma cuenta
T1021.002: SMB/Windows Admin Shares
Acceso a shares administrativos (C$, ADMIN$, IPC$) para copiar archivos y ejecutar código remotamente.
PsExec de Sysinternals es el ejemplo clásico: copia un ejecutable a \target\ADMIN$, crea un servicio remoto via SCM, y lo ejecuta.
Flujo PsExec:
1. Conexión SMB a \\target\ADMIN$ (Event 5140)
2. Copia de PSEXESVC.exe (Event 5145)
3. Creación de servicio remoto (Event 7045)
4. Ejecución del servicio (proceso PSEXESVC como parent)
5. Cleanup: elimina servicio y archivo
Detección PsExec:
| Señal | Event ID | Detalle |
|---|---|---|
| Nuevo servicio | 7045 | ServiceName: PSEXESVC (o nombre random si modificado) |
| SMB a ADMIN$ | 5140/5145 | Acceso a share administrativo |
| Named pipe | Sysmon 17/18 | \PSEXESVC pipe |
| Proceso hijo | Sysmon 1 | Parent: PSEXESVC.exe o services.exe |
Variantes: Impacket smbexec, Invoke-SMBExec, wmiexec. Cada una tiene artefactos ligeramente diferentes pero todas usan SMB y dejan eventos de autenticación.
T1021.003: DCOM (Distributed COM)
Ejecución remota via objetos COM distribuidos. Menos monitorizado que PsExec/WMI.
Objetos COM abusables:
ShellWindows (9BA05972-F6A8-11CF-A442-00A0C90A8F39)
ShellBrowserWindow
MMC20.Application (49B2791A-B1AE-4C90-9B8E-E860BA07F889)
Detección: Sysmon Event 1 con proceso padre svchost.exe -k DcomLaunch, tráfico DCOM (puerto 135 + puertos dinámicos).
T1021.004: SSH
En entornos Linux/híbridos: el atacante usa claves SSH robadas o contraseñas para moverse entre servidores.
Detección: auth.log: autenticaciones SSH desde hosts no habituales, uso de cuentas de servicio interactivamente.
T1021.006: Windows Remote Management (WinRM)
PowerShell Remoting via WinRM (puerto 5985/5986).
Invoke-Command -ComputerName TARGET -ScriptBlock { whoami }
Enter-PSSession -ComputerName TARGET
Detección:
- Event 4624 logon type 3 con proceso
wsmprovhost.exe - Event 91 (WinRM): sesión creada
- Tráfico a puertos 5985/5986
T1550: Use Alternate Authentication Material
T1550.002: Pass-the-Hash (PtH)
Autenticar con el hash NTLM directamente, sin conocer la contraseña. Funciona porque NTLM no requiere la contraseña en claro para autenticar.
Mimikatz:
sekurlsa::pth /user:admin /domain:corp /ntlm:aad3b435... /run:cmd.exe
Impacket:
psexec.py corp/admin@TARGET -hashes :aad3b435...
Detección:
- Event 4624 con logon type 3, NtlmSsp package, desde host inusual
- Anomalía: cuenta que normalmente usa Kerberos ahora usa NTLM
- Credential Guard previene el robo del hash para PtH
T1550.003: Pass-the-Ticket (PtT)
Usar tickets Kerberos robados (TGT o TGS) para autenticar sin credenciales.
Detección:
- Event 4768/4769: tickets solicitados desde host diferente al que los obtuvo
- Anomalía en PAC (Privileged Attribute Certificate)
- Golden/Silver ticket detection: ticket lifetime anómalo
T1570: Lateral Tool Transfer
Copiar herramientas de ataque (Mimikatz, Cobalt Strike, ransomware) a sistemas remotos antes de ejecutarlas.
Métodos:
- SMB:
copy payload.exe \\target\C$\Windows\Temp\ - PowerShell:
Copy-Itemvia PSSessions - certutil/bitsadmin: descarga desde C2 en cada host
- Cobalt Strike: upload integrado
Detección:
- Sysmon Event 11: archivos creados en
C:\Windows\Temp\desde red - Event 5145: acceso a shares administrativos con escritura
- EDR: nuevo binario sin firma en ubicación temporal
T1091: Replication Through Removable Media
Propagación via USB en entornos air-gapped. Relevante en ataques a infraestructura OT/ICS (Stuxnet).
Patrones de detección de movimiento lateral
Patrón 1: Spray de autenticación
ALERTA si:
Una cuenta genera Event 4624 (logon exitoso) en > 5 hosts distintos
en < 2 horas
Y la cuenta no es una service account o admin conocido
→ Probabilidad ALTA de lateral movement
Patrón 2: Island hopping
ALERTA si:
Host A se autentica en Host B
Host B se autentica en Host C
Host C se autentica en Host D
Todo en < 4 horas
→ Cadena de movimiento lateral (island hopping)
Patrón 3: Horario anómalo
ALERTA si:
Autenticación RDP/SMB entre 02:00-06:00
Desde cuenta de usuario (no servicio)
A servidor no habitual para esa cuenta
→ Posible lateral movement fuera de horario
Patrón 4: Primera vez
ALERTA si:
Cuenta X accede por primera vez a Host Y
Y Host Y es un servidor crítico (DC, file server, backup)
Y Cuenta X no es del equipo de administración
→ First-time access a sistema crítico
Herramientas de detección
| Herramienta | Capacidad |
|---|---|
| Sysmon | Events 1, 3, 17/18 (procesos, conexiones, named pipes) |
| Windows Security Log | Events 4624, 4625, 4648, 7045 (autenticación, servicios) |
| NDR (Network Detection) | Tráfico SMB, RDP, WMI anómalo |
| UEBA | Baseline de comportamiento + anomalía |
| BloodHound | Mapear rutas de movimiento antes del atacante |
| Velociraptor | Hunting de artefactos de lateral movement a escala |
Prevención
| Control | Efecto |
|---|---|
| Credential Guard | Impide PtH y LSASS dump |
| LAPS | Passwords locales únicos por host (impide reutilización) |
| Tiering de admin | Separar cuentas T0 (DC), T1 (servers), T2 (workstations) |
| Network segmentation | Limitar SMB/RDP entre segmentos |
| MFA everywhere | Especialmente en RDP y VPN |
| Disable NTLM | Forzar Kerberos donde sea posible |
| Firewall host-based | Bloquear SMB (445) entre workstations |
Conclusión
Lateral Movement es la fase más ruidosa y detectable de un ataque. PsExec, RDP y WMI generan eventos de autenticación, creación de servicios y tráfico de red que son visibles con monitorización adecuada. La clave es tener baseline de comportamiento y alertar sobre anomalías: cuentas que acceden a hosts nuevos, autenticación fuera de horario, y spray de autenticación. Las siguientes tácticas, Collection y C2, son lo que el atacante hace una vez posicionado.
Fuentes y referencias
- MITRE ATT&CK: Lateral Movement (TA0008)
- Microsoft: "Detecting Lateral Movement" (ATA/ATP documentation)
- CrowdStrike: "Lateral Movement in the Real World" (2024)
- SANS: "Spotting the Adversary with Windows Event Log Monitoring" (2023)
- SpecterOps: "An ACE Up The Sleeve" (Active Directory attacks)
Preguntas frecuentes
Artículos relacionados
Discovery (TA0007): Reconocimiento Interno del Entorno
Collection (TA0009): Recopilando Datos de Interés
Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado
Credential Access (TA0006): Robando Credenciales del Sistema
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.