Movimiento lateral - Barbara Salazar
Detección de un movimiento lateral
En primera instancia, vamos a entender que es un Movimiento Lateral
Cuando un hacker pone la mira sobre una organización específica, típicamente prepara su entrada mediante malware o campañas de spear phishing, y cuyo objetivo inicial no es extraer la mayor cantidad de información sensible, sino establecer un punto de entrada a la red.
Para este ejemplo vamos a tomar a Barbara Salazar.
El evento que estamos analizando es el login vía VPN desde Ucrania y analicemos ¿Cuál es la localidad de Barbara Salazar? R=Chicago, entonces, ¿Qué hace conectándose desde Ucrania?
Una ves puesto en contexto lo anterior, podemos puntualiza que en algún punto la cuneta VPN de Barbara Salazar fue robada.
y todo inicia que todo inicio con un ataque tipo phishing y asi iniciar el Movimiento Lateral!
Aqui lo que esta sucediendo es que ella no noto el cambio entre la "T" y "Y" en su dominio ktenergy.com, el resultado de esto es que al darle abrir el archivo adjunto payroll.zip, el cual contenía archivos PDF, que al ser abierto, desencadenaron el archivo kisker.czisza.hu:lt-bsalazar-888:en_tks_10 el cual es un servicio de redireccion de DNS, o un C2 (Centro de comando y control) que realizo la conexion a un dispositivo fuera de la organización, logrando la instalación de spyware/adware/keyloggers con el cual el atacante estara capturando todo lo que barbara estara escribiendo con teclado en la computadora.