6 juli 2026 · 6 min leestijd · begrippen
Lateral movement is de verzamelnaam voor de technieken waarmee een aanvaller zich na de eerste inbraak van het ene systeem naar het andere verplaatst. Zo krijgt hij controle over steeds meer machines in het netwerk. Die eerste toegang komt bijna nooit meteen op het target uit. Een aanvaller landt meestal op een willekeurig werkstation, terwijl de gevoelige data, de domain admin-accounts of de back-upserver ergens anders staan. Lateral movement is de fase waarin hij dat gat overbrugt.
MITRE ATT&CK beschrijft het als een aparte tactiek, Lateral Movement (TA0008). De kern is dat een aanvaller het netwerk verkent, geldige inloggegevens bemachtigt en die gebruikt om op systemen op afstand in te loggen en commando’s uit te voeren. Vaak pivot hij door meerdere machines en accounts (hij gebruikt de ene gekaapte machine als opstap naar de volgende) voordat hij bij zijn eigenlijke target is. Het verschilt van privilege escalation. Dat is verticaal, meer rechten op dezelfde machine, terwijl lateral movement horizontaal is, met dezelfde rechten maar op steeds meer machines. In de praktijk wisselen de twee elkaar voortdurend af.
Lateral movement draait meestal niet om exploits. Een aanvaller die een geldige gebruikersnaam en bijbehorende hash bezit, logt gewoon in via de normale Windows-protocollen. Hij gebruikt de infrastructuur zoals die bedoeld is, alleen met gestolen sleutels. Juist daarom is het zo lastig te onderscheiden van legitiem beheerdersverkeer.
Lateral movement verloopt bijna altijd in dezelfde cyclus. Een aanvaller bemachtigt inloggegevens, kiest een naburig systeem, authenticeert daarop en voert een commando uit, en oogst op dat nieuwe systeem opnieuw inloggegevens. Zo werkt hij stap voor stap toe naar een account met meer bereik.
Het begint allemaal bij credentials. Op een werkstation waar een beheerder is ingelogd, liggen zijn inloggegevens in het LSASS-geheugen, waar tools als Mimikatz of NetExec ze uithalen. Met een gestolen NT-hash hoeft een aanvaller het wachtwoord niet eens te kraken. Via Pass-the-Hash logt hij ermee in alsof hij die gebruiker is. De Kerberos-varianten heten Overpass-the-Hash en Pass-the-Ticket, waarbij een gestolen Kerberos-ticket als bewijs dient.
Met die inloggegevens voert de aanvaller op afstand code uit. MITRE vat dit samen onder Remote Services (T1021). De gangbare kanalen op Windows zijn een paar vaste protocollen:
Op Linux en netwerkapparatuur loopt hetzelfde via SSH. Naast deze route via gestolen inloggegevens bestaat een hardere variant, het uitbuiten van een kwetsbaarheid in een netwerkdienst (Exploitation of Remote Services, T1210), zoals EternalBlue dat in 2017 deed. In een goed onderhouden netwerk komt dat minder vaak voor dan het simpele hergebruik van inloggegevens.
Lateral movement is de schakel tussen één besmette laptop en een volledig overgenomen netwerk. Zonder die stap blijft de schade beperkt tot één machine. Met die stap ligt uiteindelijk het hele domein open.
Het typische pad in een Active Directory-omgeving loopt van een gewoon werkstation naar administratorrechten op de domain controller. De aanvaller pakt op de eerste machine de hash van een ingelogde beheerder en logt daarmee in op een tweede machine. Daar oogst hij de inloggegevens van iedereen die er nog meer was ingelogd. Dat herhaalt hij tot hij een domain admin-account te pakken heeft. Vanaf de domain controller leest hij vervolgens alle wachtwoord-hashes van het domein uit, en dan is de overname compleet.
Vanaf dat punt bepaalt de aanvaller wat er gebeurt. Ransomware-groepen gebruiken lateral movement om hun versleuteling in één klap over honderden machines uit te rollen, vaak via precies de beheerkanalen die de IT-afdeling zelf ook gebruikt. Andere aanvallers zoeken gericht naar de systemen met waarde, zoals de financiële administratie, de broncode, de klantendatabase of de back-ups. Juist daar is de impact het grootst. Soms omdat een organisatie zonder die systemen stilvalt, soms omdat een aanvaller de buitgemaakte gegevens gebruikt om te chanteren of ze openbaar maakt.
In een Active Directory pentest en een bedrijfsnetwerk pentest staat lateral movement centraal. Wij beginnen doorgaans met één set inloggegevens of één machine, en brengen van daaruit in kaart hoe ver een aanvaller zou komen. BloodHound helpt daarbij, want het tekent de aanvalspaden in Active Directory en laat zien welke gebruiker via welke machines bij domain admin uitkomt.
Het praktische werk doen we grotendeels met NetExec, ons standaardgereedschap om inloggegevens over een heel netwerk te proberen en te zien waar een account lokaal beheer heeft.
# Probeer een gevonden hash over een subnet; (Pwn3d!) betekent lokaal beheer
nxc smb 10.0.0.0/24 -u administrator -H 32ed87bdb5fdc5e9cba88547376818d4 --local-auth
# Op elke host waar de hash werkt, meteen de credentials uit LSASS trekken
nxc smb 10.0.0.0/24 -u administrator -H 32ed87bdb5fdc5e9cba88547376818d4 --local-auth -M lsassy
Vinden we ergens beheer, dan lezen we daar opnieuw het geheugen uit en pakken we de volgende set inloggegevens. Wie liever met losse tools werkt, gebruikt psexec.py en wmiexec.py uit Impacket voor hetzelfde werk.
Voer dit soort tests alleen uit op systemen waarvoor je uitdrukkelijke, schriftelijke toestemming hebt. Zonder die toestemming is het strafbaar.
Lateral movement helemaal onmogelijk maken kan niet, want het misbruikt de normale werking van jouw netwerk. De keten is wel op meerdere plekken te breken, en één goede maatregel is daarbij vaak meer waard dan tien halve:
Uiteindelijk draait het om least privilege. Hoe minder plekken waar waardevolle inloggegevens rondslingeren, en hoe minder machines die onderling mogen praten, hoe korter een aanvaller lateraal kan bewegen.
NetExec (opvolger van CrackMapExec) is een multi-protocol tool om in een Windows-netwerk credentials, shares en gebruikers te testen.
Kerberos is het authenticatieprotocol van Active Directory, gebaseerd op tickets en een centrale KDC. Wij laten zien hoe het werkt en waar aanvallers het misbruiken.
Pass-the-Hash laat aanvallers met een gestolen NT-hash inloggen zonder het wachtwoord te kennen. Wij tonen het risico in uw AD-netwerk.