מהו Lateral Movement?
Lateral Movement (בעברית: “תנועה רוחבית” או “מעבר רוחבי”) הוא השלב שבו תוקף,
לאחר שקיבל גישה ראשונית לרשת הארגונית (למשל דרך ניצול חולשה בשרת או התקפת פישינג מוצלחת),
מנסה לנוע בין מערכות שונות בארגון.
המטרה של Lateral Movement היא להגיע למידע רגיש, להרחיב הרשאות (Privilege Escalation) או לתקוף
שרתים חשובים כמו שרת ה־Active Directory, בסיסי נתונים, שרתי קבצים וכדומה.
Lateral Movement הוא שלב מרכזי בשרשרת מתקפות (Kill Chain), ומשמש כתווך אסטרטגי:
התוקף יוצא מנקודת כניסה “קטנה” יחסית עמדת קצה של עובד, ומנסה למנף את הגישה כדי להשתלט
על משאבי ליבה של הארגון.
כיצד תוקף מגיע למצב של Lateral Movement?
פישינג (Phishing):
אחת השיטות הנפוצות ביותר. התוקף שולח הודעת דוא”ל מזויפת המכילה קישור זדוני או קובץ נגוע,
וכך זוכה לחדור לעמדת העובד.
ניצול חולשת תוכנה או מערכת (Vulnerability Exploitation):
התוקף מנצל חולשה או באג במערכת הפעלה, ביישומים, או בשרתים הפתוחים לאינטרנט
על מנת לקבל גישה ראשונית.
גישה פיזית:
במקרים נדירים יותר, תוקף משיג גישה פיזית למחשב בארגון (דרך מדיה ניידת או פלאג USB)
ומשתיל נוזקה שפותחת דלת אחורית (Backdoor).
Credential Stuffing / Brute Force:
שימוש בסיסמאות גנובות, חוזרות או חלשות על מנת לפרוץ לחשבונות.
ברגע שמצליחים לחדור לתחנה או לחשבון משתמש אחד, נפתח פתח לתנועה רוחבית.
לאחר שהגישה הראשונית מושגת, מתחיל התוקף בתהליך של חקירה (Discovery),
שבו הוא מאתר חשבונות, שרתים, רכיבי רשת ושירותי ליבה בארגון,
כדי להבין היכן כדאי לתקוף בהמשך.
כיצד Lateral Movement מתבצע בפועל?
תהליך המעבר הרוחבי משתמש בטכניקות הבאות:
Session Hijacking (חטיפת Session):
נוזקות על תחנה נגועה אוספות Cookies או Tokenים המשמשים לאימות,
ולהעבירם לתוקף לצורך impersonation של משתמש מורשה.
Pass-the-Hash או Pass-the-Ticket:
שימוש בפרטי אימות (Hashים של סיסמאות או כרטיסי Kerberos) שנמצאו בזיכרון או בקבצי לוג,
על מנת לעקוף צורך בסיסמה “ברורה” (Plain-text).
כלי ניהול מרוחקים (RATs / Remote Administration Tools):
התוקף עלול להשתמש בכלים פנימיים כגון PsExec, Remote Desktop, WMI ו־PowerShell
על מנת להפעיל פקודות בעמדות או שרתים אחרים ברשת.
Golden Ticket / Silver Ticket:
מתקפות מתקדמות כנגד Kerberos (כמו Golden Ticket) המאפשרות לתוקף “לזייף” כרטיס אימות Kerberos
ולגשת באופן חופשי למשאבים בכל הארגון, בדומה לחשבון Domain Admin.
השתלטות על חשבון עם הרשאות מורחבות:
אם תוקף מצליח לגנוב נתוני התחברות של משתמש בעל הרשאות גבוהות
(לדוגמה, Power User, Domain Admin או חשבון שירות קריטי),
הוא יכול לנוע בקלות בין שרתים ועמדות.
כיצד מתגוננים מפני Lateral Movement?
הקשחת תשתיות וניהול הרשאות
הקפידו על Least Privilege, צמצום גישת משתמשים רק למה שהם באמת צריכים.
הפרדה בין חשבונות אדמיניסטרטיביים לחשבונות רגילים.
ניהול זהויות והרשאות (IAM) קפדני, הכולל Multifactor Authentication (MFA) היכן שניתן.
הקשחת תחנות קצה ושרתים
הקפידו על עדכוני אבטחה שוטפים, ובפרט מערכות הפעלה ויישומים פגיעים.
שימוש בתוכנות EDR (Endpoint Detection & Response) לזיהוי התנהגות חשודה בתחנה.
הקשחת הגדרות PowerShell ויישומי ניהול מרחוק כך שלא יהיה ניתן לנצלם בקלות.
הפרדת רשת (Network Segmentation) ו־Zero Trust
חלקו את הרשת ל־VLANים או אזורי אבטחה ייעודיים לפי רמת הסיכון.
כך, גם אם תוקף חודר לאזור אחד, הוא לא יוכל לנוע בקלות לרשתות אחרות.
הטמעת Zero Trust: גישה שבה כל גישה למשאב נבדקת ונבחנת נקודתית,
ללא הנחות מוקדמות כי “פנים הרשת בטוח”.
מערכי זיהוי (Detection)
הטמעת מערכות SIEM/SOC (Security Information and Event Management)
ומוצרים דומים שיעקבו אחרי לוגים ויתנו התראות בזמן אמת.
שמירה וניתוח לוגים מרכזיים (Event Logs, Network Traffic) לגילוי אנומליות.
שימוש בכלי ניטור תעבורה (NDR – Network Detection and Response)
לזיהוי תקשורת חשודה (למשל, WMI או PsExec שלא בשעות פעילות סטנדרטיות).
הערכות להמשך טיפול (Incident Response)
תכנית IR (Incident Response) ברורה ומוגדרת מראש, הכוללת זיהוי, בידוד וחקירת תקרית.
תרגול “Tabletop Exercises” על מנת לבחון את הצוותים, התהליכים וכלי הזיהוי והתגובה.
ניהול קבוע של Backups offline כדי למנוע השבתת המערכת עקב כופרה או מחיקה זדונית.
שאלות ותשובות בנושא Lateral Movement
ש: כיצד ניתן לזהות Pass-the-Hash בתשתית Windows?
ת: חיפוש בלוגי אבטחה (Security Event Logs) אחרי נסיונות התחברות מרובים
שמשתמשים בכישלון אימות רציף או ב”Hash” במקום טקסט קריא.
ניטור שיחות SMB/LAN Manager חשודות או תהליכי LSASS שניגשים לאזורי זיכרון חשודים.
שימוש בכלי התקפי ידוע (כמו Mimikatz) ניתנים לזיהוי ע”י מוצרי EDR.
ש: מהו ההבדל העיקרי בין Pass-the-Ticket ל־Golden Ticket?
ת: Pass-the-Ticket משתמש בכרטיס Kerberos שהונפק למשתמש לגיטימי,
אך נגנב מזיכרון ואותו מעבירים לתוקף.
Golden Ticket הוא זיוף כרטיס Kerberos עצמאי (TGT) המבוסס על מפתח ה־KRBTGT של דומיין.
הוא מאפשר לתוקף להפיק כרטיסים לכל משתמש, כולל Domain Admin, באופן בלתי מוגבל כמעט.
ש: מדוע Segmentaion (הפרדת רשת) מהווה כלי כה חזק במניעת Lateral Movement?
ת: הפרדת רשת מונעת מתוקף לעבור בקלות בין סגמנטים ולקבל גישה למשאבי Core (ליבה).
היא מאלצת את התוקף להשקיע זמן ומשאבים נוספים בפריצה לאזורים נוספים, ובזמן זה לרוב ניתן לזהותו.
במבנה מקוטע, אפילו אם תוקף פועל במשנה מאזור נפגע, הנזק האפשרי שלו מוגבל למקטע המצומצם
ולא משפיע על הרשת כולה.
ש: מהם היתרונות של Zero Trust כמודל אבטחתי לניהול Lateral Movement?
ת: במודל Zero Trust לא מניחים שכל “מי שבפנים” הוא מהימן. כל בקשת גישה נבדקת,
מוצפנת, ונשענת על אימות זהות חזק (MFA, תעודות, ועוד).
גישה נקודתית לכל משאב מפחיתה את סיכוי התוקף לתקוף את הרשת בשלמותה.
הוא מקטין את השימוש באישורי התחברות “מטיילים” (רשת פנימית פתוחה),
מה שמקשה על כלי Lateral Movement מסורתיים.
ש: איך ניתן לאבחן שימוש ב־WMI לצורך Lateral Movement בתוך הרשת?
ת: ניטור קריאות WMI חשודות (WBEM) המבוצעות במועדים לא רגילים
או ממשתמשים שלא אמורים להריץ אותן.
שימוש בלוגים כגון Microsoft-Windows-WMI-Activity/Operational כדי להגדיר חוקים ספציפיים
היכן לתפוס הרצת סקריפטים או פקודות WMI שלא תואמות פרופיל עבודה רגיל.
מעקב באמצעות EDR או SIEM אחר דפוסים נפוצים, לדוגמה wmic.exe הרץ מעמדות
קצה שאינן שולחן עבודה של אדמיניסטרציה.
