Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Lateral movement

Lateral movement

6 juli 2026 · 6 min leestijd · begrippen

active-directory post-exploitation network

Wat is lateral movement?

Lateral movement is de verzamelnaam voor de technieken waarmee een aanvaller zich na de eerste inbraak van het ene systeem naar het andere verplaatst. Zo krijgt hij controle over steeds meer machines in het netwerk. Die eerste toegang komt bijna nooit meteen op het target uit. Een aanvaller landt meestal op een willekeurig werkstation, terwijl de gevoelige data, de domain admin-accounts of de back-upserver ergens anders staan. Lateral movement is de fase waarin hij dat gat overbrugt.

MITRE ATT&CK beschrijft het als een aparte tactiek, Lateral Movement (TA0008). De kern is dat een aanvaller het netwerk verkent, geldige inloggegevens bemachtigt en die gebruikt om op systemen op afstand in te loggen en commando’s uit te voeren. Vaak pivot hij door meerdere machines en accounts (hij gebruikt de ene gekaapte machine als opstap naar de volgende) voordat hij bij zijn eigenlijke target is. Het verschilt van privilege escalation. Dat is verticaal, meer rechten op dezelfde machine, terwijl lateral movement horizontaal is, met dezelfde rechten maar op steeds meer machines. In de praktijk wisselen de twee elkaar voortdurend af.

Lateral movement draait meestal niet om exploits. Een aanvaller die een geldige gebruikersnaam en bijbehorende hash bezit, logt gewoon in via de normale Windows-protocollen. Hij gebruikt de infrastructuur zoals die bedoeld is, alleen met gestolen sleutels. Juist daarom is het zo lastig te onderscheiden van legitiem beheerdersverkeer.

Hoe werkt lateral movement?

Lateral movement verloopt bijna altijd in dezelfde cyclus. Een aanvaller bemachtigt inloggegevens, kiest een naburig systeem, authenticeert daarop en voert een commando uit, en oogst op dat nieuwe systeem opnieuw inloggegevens. Zo werkt hij stap voor stap toe naar een account met meer bereik.

Het begint allemaal bij credentials. Op een werkstation waar een beheerder is ingelogd, liggen zijn inloggegevens in het LSASS-geheugen, waar tools als Mimikatz of NetExec ze uithalen. Met een gestolen NT-hash hoeft een aanvaller het wachtwoord niet eens te kraken. Via Pass-the-Hash logt hij ermee in alsof hij die gebruiker is. De Kerberos-varianten heten Overpass-the-Hash en Pass-the-Ticket, waarbij een gestolen Kerberos-ticket als bewijs dient.

Met die inloggegevens voert de aanvaller op afstand code uit. MITRE vat dit samen onder Remote Services (T1021). De gangbare kanalen op Windows zijn een paar vaste protocollen:

  • SMB en de admin-shares (T1021.002), de klassieke PsExec-aanpak, waarbij op het target een service wordt aangemaakt die het commando start.
  • WMI, waarmee een proces op afstand start zonder dat er een nieuwe service nodig is.
  • WinRM en PowerShell Remoting (T1021.006), het beheerkanaal dat in veel omgevingen toch al openstaat.
  • RDP (T1021.001) voor interactieve toegang, of het overnemen van een bestaande RDP-sessie.

Op Linux en netwerkapparatuur loopt hetzelfde via SSH. Naast deze route via gestolen inloggegevens bestaat een hardere variant, het uitbuiten van een kwetsbaarheid in een netwerkdienst (Exploitation of Remote Services, T1210), zoals EternalBlue dat in 2017 deed. In een goed onderhouden netwerk komt dat minder vaak voor dan het simpele hergebruik van inloggegevens.

Wat kan een aanvaller met lateral movement bereiken?

Lateral movement is de schakel tussen één besmette laptop en een volledig overgenomen netwerk. Zonder die stap blijft de schade beperkt tot één machine. Met die stap ligt uiteindelijk het hele domein open.

Het typische pad in een Active Directory-omgeving loopt van een gewoon werkstation naar administratorrechten op de domain controller. De aanvaller pakt op de eerste machine de hash van een ingelogde beheerder en logt daarmee in op een tweede machine. Daar oogst hij de inloggegevens van iedereen die er nog meer was ingelogd. Dat herhaalt hij tot hij een domain admin-account te pakken heeft. Vanaf de domain controller leest hij vervolgens alle wachtwoord-hashes van het domein uit, en dan is de overname compleet.

Vanaf dat punt bepaalt de aanvaller wat er gebeurt. Ransomware-groepen gebruiken lateral movement om hun versleuteling in één klap over honderden machines uit te rollen, vaak via precies de beheerkanalen die de IT-afdeling zelf ook gebruikt. Andere aanvallers zoeken gericht naar de systemen met waarde, zoals de financiële administratie, de broncode, de klantendatabase of de back-ups. Juist daar is de impact het grootst. Soms omdat een organisatie zonder die systemen stilvalt, soms omdat een aanvaller de buitgemaakte gegevens gebruikt om te chanteren of ze openbaar maakt.

Lateral movement in een pentest

In een Active Directory pentest en een bedrijfsnetwerk pentest staat lateral movement centraal. Wij beginnen doorgaans met één set inloggegevens of één machine, en brengen van daaruit in kaart hoe ver een aanvaller zou komen. BloodHound helpt daarbij, want het tekent de aanvalspaden in Active Directory en laat zien welke gebruiker via welke machines bij domain admin uitkomt.

Het praktische werk doen we grotendeels met NetExec, ons standaardgereedschap om inloggegevens over een heel netwerk te proberen en te zien waar een account lokaal beheer heeft.

# Probeer een gevonden hash over een subnet; (Pwn3d!) betekent lokaal beheer
nxc smb 10.0.0.0/24 -u administrator -H 32ed87bdb5fdc5e9cba88547376818d4 --local-auth

# Op elke host waar de hash werkt, meteen de credentials uit LSASS trekken
nxc smb 10.0.0.0/24 -u administrator -H 32ed87bdb5fdc5e9cba88547376818d4 --local-auth -M lsassy

Vinden we ergens beheer, dan lezen we daar opnieuw het geheugen uit en pakken we de volgende set inloggegevens. Wie liever met losse tools werkt, gebruikt psexec.py en wmiexec.py uit Impacket voor hetzelfde werk.

Voer dit soort tests alleen uit op systemen waarvoor je uitdrukkelijke, schriftelijke toestemming hebt. Zonder die toestemming is het strafbaar.

Hoe voorkom je lateral movement?

Lateral movement helemaal onmogelijk maken kan niet, want het misbruikt de normale werking van jouw netwerk. De keten is wel op meerdere plekken te breken, en één goede maatregel is daarbij vaak meer waard dan tien halve:

  • Netwerksegmentatie beperkt met welke systemen een besmette machine überhaupt kan praten. Kan een werkstation alleen bij de servers die het echt nodig heeft, dan valt er van daaruit weinig te springen.
  • Een tiering-model houdt privileged accounts weg van gewone werkstations. Logt een domain admin nooit in op een laptop, dan belandt zijn hash ook nooit in het geheugen van een machine die een aanvaller als eerste te pakken krijgt.
  • LAPS geeft elke machine een uniek lokaal admin-wachtwoord. Eén gekraakte machine geeft dan geen toegang tot de volgende, omdat diezelfde lokale hash daar niet werkt.
  • Het beperken van NTLM en het afdwingen van SMB-signing halen de protocollen weg waar Pass-the-Hash en relay-aanvallen op leunen. Credential Guard isoleert daarnaast de hashes en tickets, zodat ze niet zomaar uit LSASS te trekken zijn.
  • Monitoring vangt op wat preventie laat liggen. Een EDR of SIEM die let op verkeer tussen werkstations onderling, op nieuwe services via SMB en op afwijkende WinRM-sessies, ziet de keten waar één los event nog onschuldig oogt.

Uiteindelijk draait het om least privilege. Hoe minder plekken waar waardevolle inloggegevens rondslingeren, en hoe minder machines die onderling mogen praten, hoe korter een aanvaller lateraal kan bewegen.

Veelgestelde vragen over lateral movement

Wat is het verschil tussen lateral movement en privilege escalation?

Lateral movement is horizontaal, met dezelfde rechten maar op steeds meer machines. Privilege escalation is verticaal, met meer rechten op één machine. In een echte aanval wisselen ze elkaar af. Een aanvaller escaleert op een werkstation tot lokaal beheer, gebruikt dat om inloggegevens te stelen, beweegt daarmee lateraal naar de volgende machine, en escaleert daar opnieuw.

Welke tools gebruiken aanvallers voor lateral movement?

Meestal geen exotische malware, maar gewone beheertools. NetExec, Impacket (psexec.py, wmiexec.py) en PowerShell Remoting draaien commando’s op afstand, Mimikatz en Lsassy halen inloggegevens uit het geheugen, en BloodHound tekent vooraf de kortste route naar domain admin. Omdat dit deels dezelfde tools zijn die beheerders zelf gebruiken, valt het verkeer lastig te onderscheiden van legitiem beheer.

Stopt netwerksegmentatie lateral movement?

Segmentatie stopt het niet volledig, maar maakt het een stuk moeilijker. Het bepaalt met welke systemen een besmette machine mag praten. Kan een werkstation alleen bij de paar servers die het nodig heeft, dan heeft een aanvaller die erop landt weinig buren om naartoe te springen. Segmentatie werkt het best samen met een tiering-model en LAPS, zodat een gestolen hash ook binnen een segment niet overal past.

Hoe detecteer je lateral movement?

Let op oost-west-verkeer, dus verbindingen tussen werkstations onderling die er normaal niet zijn. Een EDR of SIEM ziet nieuwe services die via SMB worden aangemaakt (de klassieke PsExec-methode), afwijkende WinRM- of WMI-sessies, en accounts die op ongebruikelijke tijden of machines inloggen. Eén los event oogt vaak onschuldig; de opeenvolging verraadt de aanval.

Gerelateerde artikelen