Windows Lateral Movement — Introduction
¿Qué es el Lateral Movement?
Movimiento lateral es el conjunto de técnicas usadas para moverse entre sistemas dentro de una red después de obtener acceso inicial. El objetivo es escalar privilegios, acceder a datos sensibles, y llegar a objetivos de alto valor.
Para hacer lateral movement necesitas algún tipo de credencial:
Contraseñas
NTLM Hashes → Pass the Hash (sin necesitar la contraseña en texto)
NTLMv2 Hashes → NTLM Relay attacks
AES256 Keys → autenticación con Rubeus o Mimikatz
Tickets Kerberos → forjar o capturar tickets para autenticarse
SSH Keys
Session CookiesTipos de lateral movement
Directo
Ejecutas comandos directamente en el host objetivo. Tienes conectividad directa al target.
SRV01 → PSExec → SRV02 (obtienes shell en SRV02)Indirecto
No tienes conectividad directa al objetivo pero el objetivo se conecta a otro sistema que sí controlas.
SRV01 → X → SRV02 (firewall bloquea)
SRV02 → WSUS (SRV02 se conecta a WSUS para updates)
Si comprometes WSUS y creas un update malicioso → SRV02 lo ejecuta → shell en SRV02Servicios remotos abusables (T1021 MITRE ATT&CK)
T1021.001 RDP → Remote Desktop Protocol, acceso gráfico remoto
T1021.002 SMB → Server Message Block, compartir archivos y ejecutar comandos
T1021.003 DCOM → Distributed Component Object Model, ejecución remota via COM
T1021.004 SSH → acceso remoto seguro via línea de comandos
T1021.005 VNC → control gráfico remoto
WMI → Windows Management Instrumentation, gestión y ejecución remota
WinRM → Windows Remote Management, protocolo WS-Management (evil-winrm)Referencia MITRE: https://attack.mitre.org/techniques/T1021/
Topología del lab
172.20.0.0/24 → SRV01, SRV02, DC01, BACKUP01
172.40.0.0/24 → SRV03, WSUS, SCCM, SRVMESHUn Switch Layer 3 (o router/firewall) controla qué segmento puede alcanzar al otro. No todos los hosts son accesibles directamente desde cualquier punto de la red.
Flujo general de lateral movement
1. Identificar hosts en la red (port scan, ping sweep, AD queries)
2. Identificar servicios disponibles en cada host
3. Obtener credenciales (contraseñas, hashes, tickets)
4. Autenticarse a los servicios remotos con esas credenciales
5. Ejecutar comandos o transferir herramientas al host objetivo
6. Repetir desde el nuevo host si es necesarioEnumeración previa al lateral movement
# Port scan para identificar servicios
nmap -p 445,3389,5985,22,135 172.20.0.0/24
# Via AD con PowerView
Get-DomainComputer | select dnshostname,operatingsystem
Get-NetLocalGroupMember -ComputerName SRV01 -GroupName Administrators
# Via CrackMapExec
crackmapexec smb 172.20.0.0/24
crackmapexec winrm 172.20.0.0/24
crackmapexec rdp 172.20.0.0/24Segmentación de red — implicaciones para el atacante
Si hay segmentación de red no puedes conectarte directamente a todos los hosts. Las opciones son:
Usar un host comprometido como pivote para alcanzar segmentos inaccesibles directamente. Herramientas como proxychains + chisel o ligolo-ng permiten enrutar tráfico a través del host pivot.
Buscar servicios que el host objetivo consuma de forma activa (WSUS, SCCM, DNS, etc.) y comprometer esos servicios para que el objetivo venga hacia ti.