Pular para o conteúdo principal
Fechar
Segurança

O Erro Honesto: Movimento Lateral via WMI Que Atravessou 47 Políticas de Micro-segmentation

Gabriel Ferraresi· CEO | Tech862 de julho de 20265 min
segurancalateral-movementwmimicro-segmentacaoincident-response

Quase deixamos passar um ataque de movimento lateral durante uma resposta a incidente. Estávamos focados no vetor de acesso inicial — o phishing, a credencial comprometida, como o atacante entrou. Era o óbvio. Era o que todo mundo queria saber. Mas o óbvio é exatamente o que cega uma equipe de IR.

O óbvio que cega: foco no acesso inicial

Na Tech86, estávamos mapeando a cadeia de kill chain a partir do ponto de entrada. Tudo fazia sentido. O phishing levou a uma credencial comprometida, a credencial levou a uma sessão ativa, a sessão levou ao servidor inicial. A narrativa era limpa e linear — exatamente o tipo de narrativa que faz uma equipe parar de procurar.

Segundo o Mandiant M-Trends, o tempo médio de detecção de movimento lateral é de 14 dias. Não porque o movimento lateral seja invisível, mas porque equipes de IR priorizam o acesso inicial. O atacante entra, a equipe pergunta "como ele entrou?", e enquanto todos olham para a porta da frente, o atacante já está se movendo pelos corredores. Esse é o padrão. Nós estávamos prestes a repeti-lo.

A descoberta: um segundo conjunto de atividades

A diferença foi um analista que questionou o consenso. Ao cruzar dados de identidade com telemetria de endpoint, percebeu: havia um segundo conjunto de atividades que não pertencia ao mesmo ator. Movimento lateral via WMI. Passando por 47 políticas de micro-segmentation aparentemente intactas.

WMI é um vetor de movimento lateral frequentemente negligenciado. É legítimo, é nativo do Windows, e a maioria das ferramentas de EDR não alerta sobre seu uso porque ele se mistura ao ruído administrativo normal. Segundo o Unit 42, 87% dos incidentes só ficam visíveis quando você cruza identidade, endpoint e cloud. Nós estávamos olhando apenas para identidade e endpoint — e mesmo assim quase perdemos. Faltava a camada de cloud para confirmar que o segundo conjunto de atividades era real.

A política 23 e a exceção legada de 18 meses

Quarenta e sete políticas de micro-segmentation aparentemente intactas. Aparentemente. Quando auditamos uma a uma, a política 23 tinha uma regra allow ampla demais. Uma exceção temporária criada 18 meses antes, nunca revogada. Por ela passava um caminhão.

Micro-segmentation é uma arquitetura defensiva poderosa quando bem implementada. Mas seu ponto fraco não é a configuração inicial — é o decaimento ao longo do tempo. Exceções temporárias viram permanentes. Regras de allow amplas permanecem porque ninguém quer quebrar algo que funciona. A política 23 foi criada para um projeto de migração em janeiro de 2025. O projeto terminou em março de 2025. A exceção permaneceu até julho de 2026. Dezoito meses de uma porta aberta que ninguém lembrou que existia.

Segundo o Sophos X-Ops, há registros de ransomware que apagou Windows Event Logs especificamente para destruir rastros de movimento lateral. O atacante não precisa de zero-days quando a defesa apaga suas próprias evidências por negligência. A exceção legada é o equivalente defensivo de deixar a porta aberta e jogar fora a chave.

O que dizem os dados: Mandiant, Unit 42, Sophos X-Ops

Os dados externos confirmam que o que vivemos não foi um caso isolado. Segundo o Mandiant M-Trends, o tempo médio de detecção de movimento lateral é de 14 dias porque equipes de IR priorizam o acesso inicial. Quatorze dias é tempo suficiente para que um atacante atravesse toda a infraestrutura, estabeleça persistência em múltiplos sistemas e prepare o terreno para ransomware ou exfiltração.

Segundo o Unit 42, 87% dos incidentes só ficam visíveis quando você cruza identidade, endpoint e cloud. Olhar para uma única camada é olhar para uma fração do quadro. O movimento lateral vive nas bordas entre camadas — é exatamente onde nenhuma ferramenta individual olha.

Segundo o Sophos X-Ops, há casos documentados de ransomware que apagou Windows Event Logs para destruir rastros de movimento lateral. O atacante entende que o log é a evidência. Sem log, não há investigação. Sem investigação, não há containment eficaz.

Como mudamos a metodologia na Tech86

Depois desse incidente, mudamos a metodologia na Tech86. Toda resposta a incidente agora tem uma trilha paralela de investigação de movimento lateral desde o minuto zero, independente do vetor de entrada. Não esperamos terminar a análise do acesso inicial para começar a procurar movimento lateral. As duas trilhas correm em paralelo.

E toda política de micro-segmentation é auditada por exceções legadas antes do containment. Não basta confirmar que as políticas existem — é preciso confirmar que elas fazem o que deveriam fazer, e que nenhuma exceção temporária virou permanente. A auditoria de exceções é agora uma etapa obrigatória, não opcional.

Aprender isso do jeito difícil é o que nos torna melhores no que fazemos. O analista que questionou o consenso salvou essa resposta a incidente. A lição não é que somos infalíveis — é que a disciplina de questionar o consenso é o que separa uma resposta a incidente completa de uma que apenas confirma o que todo mundo já esperava.

Conclusão

Movimento lateral é a fase do ataque onde o atacante já está dentro e se movendo. É a fase mais difícil de detectar e a mais fácil de negligenciar. Segundo o Mandiant M-Trends, 14 dias é a média — e 14 dias é muito tempo. Na Tech86, nós aprendemos que a única defesa contra movimento lateral é uma trilha de investigação paralela desde o minuto zero, cruzando identidade, endpoint e cloud, e auditando cada exceção legada antes do containment. Se você está em uma resposta a incidente agora e só está olhando para o acesso inicial, pare. Comece a procurar movimento lateral. O atacante já está se movendo.

Precisa de orientação especializada?

Agende uma consultoria com nossos especialistas.

Resposta a Incidentes e Forense Digital

Perguntas Frequentes

Movimento lateral é a fase do ataque onde o atacante já está dentro e se movendo entre sistemas para escalar privilégios, estabelecer persistência e alcançar alvos finais. É negligenciado porque equipes de IR priorizam o acesso inicial — o phishing, a credencial comprometida, como o atacante entrou. Segundo o Mandiant M-Trends, o tempo médio de detecção de movimento lateral é de 14 dias exatamente por esse motivo.

Exceções temporárias viram permanentes quando ninguém as revoga. Na Tech86, encontramos uma exceção criada para um projeto de migração em janeiro de 2025, nunca revogada, ainda ativa em julho de 2026 — 18 meses depois. A exceção tinha uma regra allow ampla demais. Por ela passava todo o tráfego de movimento lateral via WMI. O ponto fraco de micro-segmentation não é a configuração inicial, é o decaimento ao longo do tempo.

Segundo o Mandiant M-Trends, 14 dias é a média de detecção de movimento lateral. Quatorze dias é tempo suficiente para que um atacante atravesse toda a infraestrutura, estabeleça persistência em múltiplos sistemas e prepare o terreno para ransomware ou exfiltração. O problema não é que o movimento lateral seja invisível — é que as equipes olham para o lugar errado primeiro.

Segundo o Unit 42, 87% dos incidentes só ficam visíveis quando você cruza identidade, endpoint e cloud. Olhar para uma única camada é olhar para uma fração do quadro. O movimento lateral vive nas bordas entre camadas — é onde nenhuma ferramenta individual olha sozinha. Cruzar as três camadas é o que torna o movimento lateral visível.

Toda resposta a incidente na Tech86 agora tem uma trilha paralela de investigação de movimento lateral desde o minuto zero, independente do vetor de entrada. Não esperamos terminar a análise do acesso inicial para começar a procurar movimento lateral. E toda política de micro-segmentation é auditada por exceções legadas antes do containment — não basta confirmar que as políticas existem, é preciso confirmar que elas fazem o que deveriam fazer.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.