Lateral Movement im Lab: SMB, WMI und WinRM mit Detection-Fokus

Lateral Movement ist keine Magie: ein Angreifer wiederverwendet gueltige Credentials innerhalb legitimer Protokolle. In unserem GOAD-Lab mit drei Windows Server 2019 und einem Windows 10 in der Domain sevenkingdoms.local pivotierten wir von einer Workstation zum DC in unter acht Minuten ausschliesslich ueber SMB, WMI und WinRM. Das Ziel ist nicht, Pivot nach Pivot zu drillen, sondern zu zeigen, wo jede Technik in den Logs schreit und wie man die Detection schreibt, bevor der echte Vorfall passiert. Wenn deine Umgebung noch nicht steht, fang mit Active Directory Pentest: Kerberoasting Schritt fuer Schritt im GOAD Lab an.

Wir starteten mit klassischem SMB ueber impacket-psexec und smbexec. Nach dem Abgreifen eines NTLM-Hashes via Responder fuehrten wir psexec.py sevenkingdoms.local/jaime@10.0.10.10 -hashes :aad3b... aus und landeten als SYSTEM. Der Laerm ist enorm: RemComSvc-Service-Erstellung unter Event ID 7045, Binary-Write auf ADMIN$ loest Event ID 5145 mit ShareName ADMIN$ und einem RelativeTargetName mit zufaelligem .exe-Suffix aus. Die Sigma-Regel bleibt kurz: 7045 filtern, wenn ServiceFileName acht alphanumerische Zeichen plus .exe matcht, faengt 90 Prozent der psexec-Varianten ohne Binary-Signatur ab.

WMI verschiebt die Logging-Oberflaeche. Mit impacket wmiexec.py oder direktem Invoke-WmiMethod entsteht der Kindprozess aus WmiPrvSE.exe statt services.exe. In Sysmon erscheint das als Event ID 1 mit ParentImage=C:\Windows\System32\wbem\WmiPrvSE.exe und CommandLine mit cmd.exe /Q /c, dem Standard-Fingerabdruck von wmiexec. Kombiniere das mit Event ID 3 (Netzwerkverbindung) vom Ziel auf Port 445 zum Output-Rueckkanal, und die Konfidenz ist hoch. Fuer breiteres LOLBin-Hunting lohnt sich ein Blick in Hunting von Living-off-the-Land-Binaries unter Windows mit KQL und das Anpassen der Queries an deinen Stack.

WinRM ist der Liebling moderner Operatoren, weil es wie legitimer Admin-Traffic aussieht. Wir feuerten Enter-PSSession -ComputerName dc01 -Credential $cred und ein remote Invoke-Command. Indikatoren liegen an drei Stellen: Microsoft-Windows-WinRM/Operational Event ID 91 (Session erstellt), Security Event ID 4624 mit LogonType 3 und AuthenticationPackage Negotiate, sowie Sysmon Event ID 1 mit ParentImage=wsmprovhost.exe. Eine gute Sigma-Regel korreliert wsmprovhost.exe als Parent jedes Prozesses ausser conhost.exe oder csrss.exe in einem Fuenf-Minuten-Fenster und eliminiert so den PowerShell-DSC-Baseline-Laerm.

Der Teil, den niemand erzaehlt: eine isolierte Technik zu erkennen ist leicht, die ganze Kette zu erkennen ist, was zaehlt. Wir bauten ein Elastic-Playbook, das Responder-Hit -> Hash-Crack -> erstes Type-3-Logon mit NT-Hash auf einem Host, den der User nie zuvor beruehrt hat -> wsmprovhost- oder WmiPrvSE-Spawn innerhalb von zehn Minuten verkettet. Diese zeitliche Korrelation senkte False Positives von 40 Alerts pro Tag auf 2 pro Woche in unserem simulierten Lab. Wenn du frisch mit Sigma und Elastic startest, deckt Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel die ELK-plus-sigmac-Pipeline ab, die wir als Basis nutzen.

Wichtig: all das setzt anstaendige Telemetrie voraus. Ohne Sysmon mit Olaf- oder SwiftOnSecurity-Config, ohne aktiviertes PowerShell Script Block Logging (Event ID 4104) und ohne Sammeln der WinRM- und WMI-Activity-Kanaele werden deine Sigma-Regeln zu Poesie. In GOAD rollten wir eine minimale GPO aus, die diese vier Punkte auf jedem Host umlegt; dieselbe Baseline empfehlen wir in Windows 11 Hardening fuer Hochrisiko Arbeitsplaetze fuer Corporate-Endpoints. Telemetrie zuerst, Regel danach, immer in dieser Reihenfolge, sonst detektierst du den Angreifer am Schweigen von Logs, die nie ankommen.

Zum Schluss Researcher-OPSEC: Lateral-Movement-Labs erzeugen Hashes, Kerberos-Tickets und Samples, die nicht auf deine echte Workstation lecken duerfen. Wir arbeiten immer in isolierten Host-only-VMs, mit Snapshots vor jeder Ausfuehrung, und wir wiederverwenden niemals Passwoerter zwischen Lab und persoenlicher Produktion. Fuer einen breiteren Blick auf Isolation von Forschungsumgebungen erklaert OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell das Modell, das wir adoptiert haben. Praktischer Takeaway: waehle diese Woche eine Technik (wir empfehlen WMI als die am schwaechsten erkannte), reproduziere sie in GOAD, schreib die Sigma-Regel, validiere mit Atomic Red Team T1047 und erst dann gehe weiter. Kurzer Zyklus, echte Detection.