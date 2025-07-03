Minha pesquisa sobre o Microsoft Azure começou durante uma recente operação, onde nos deparamos com um script do PowerShell contendo um Service Principal codificado que era responsável por implementar o Arc em sistemas locais. Eu não sabia muito sobre o serviço, então comecei a fazer uma pesquisa para determinar o que poderíamos fazer com as credenciais recuperadas. Acabamos sendo capazes de usar técnicas documentadas em pesquisas anteriores sobre este assunto para obter a execução de código em um controlador de domínio e voltar para o Microsoft Azure, mas isso me fez pensar em algumas questões mais amplas relacionadas ao Arc: Como você identificá-lo em ambientes? Quais configurações (configurações incorretas) poderiam existir que permitiriam o escalonamento? Quais outros vetores de execução de código existem nele? Poderia ser usado como um mecanismo de persistência fora de banda?
Então, o que é Azure Arc? Em um nível elevado, ele estende os recursos de gerenciamento nativos do Azure para uma variedade de Recursos que não são do Azure, como sistemas locais, clusters e implementações —permitindo que esses sistemas sejam gerenciados pelo Resource Manager da mesma forma que um host nativo do Azure seria. Depois que o agente Arc é implementado em um host, ele registra os Recursos subjacentes no Azure e expõe um pacote de funcionalidades de gerenciamento: monitoramento, aplicação de políticas, gerenciamento de atualizações, etc. No entanto, o mais interessante para mim foi a capacidade de usá-lo para baixar arquivos remotamente e executar comandos de um processo confiável no contexto de NT_AUTHORITY\SYSTEM. Embora algumas das funcionalidades do Arc se sobreponham ao Intune, o Arc foi desenvolvido especificamente para gerenciar infraestrutura e servidores, não de endpoint ou dispositivos móveis.
O Arc não é muito novo (foi lançado originalmente em 2019), e outras pesquisas anteriores descreveram como ele pode ser usado para executar código e persistir em ambientes. Além disso, a pesquisa existente sobre o ataque a máquinas virtuais (VMs) tem sobreposições significativas com o Arc, já que os sistemas locais configurados com o Arc podem ser gerenciados no Azure da mesma forma que uma VM nativa do Azure. Com este blog, espero fornecer um pouco mais de contexto, concentrando-se em áreas não tão exploradas nas pesquisas existentes, bem como delinear o uso ofensivo da plataforma dentro de um fluxo de trabalho típico da equipe vermelha e fornecer orientação defensiva complementar para implementações do Azure Arc .
Antes de entrar em detalhes sobre o ataque ao Arc, eu o configurei em um locatário de teste para obter uma melhor compreensão de como o serviço funciona e de como é o processo de implementação. Como o Arc é um serviço do Azure, ele exige uma assinatura e um grupo de recursos downstream para anexar recursos gerenciados; o acesso também é gerenciado posteriormente por meio das funções de controle de acesso baseado em função (RBAC) do Azure atribuídas nesses escopos. Se quiser configurar isso em seu próprio laboratório, uma observação adicional é que você terá que se registrar com os seguintes provedores de recursos na sua assinatura em Assinaturas -> (sua assinatura) -> Configurações -> Provedores de Recursos:
Depois que esses pré-requisitos forem atendidos, uma conta com funções apropriadas atribuídas na assinatura associada ao Arc poderá ser usada para acessar o serviço, onde você verá uma janela de gerenciamento geral.
Como ainda não implementamos o Arc em nenhum lugar, entraremos imediatamente na interface de Adicionar Recursos. Esse menu contém opções de implementação e descoberta para vários tipos de dispositivos, mas o de maior interesse imediato é a funcionalidade de Máquina, que nos permite gerenciar servidores Windows e Linux hospedados fora do locatário atual do Azure. Clicando aqui, é possível ver uma variedade de opções de implementação para um ou vários hosts.
Dentro dessa interface, os servidor único e o Windows Server com opções de instalador são mais adequados para implementações únicas, e as opções AWS/ Update Management se concentram mais em dispositivos nativos da nuvem já gerenciados por meio do Azure ou AWS. Neste caso, estamos mais interessados na opção de implementação em vários servidores, pois essa provavelmente será a rota mais comum que um administrador de TI usaria em um cenário de implementação híbrida empresarial.
Ao clicar na opção de vários servidores, o fluxo de trabalho de implementação faz uma variedade de perguntas básicas sobre a assinatura, o grupo de recursos e a região para anexar os dispositivos gerenciados pelo Arc. Tudo é bastante simples até a parte inferior desta página, onde somos solicitados a fornecer um Service Principal para usar no registro do dispositivo durante a implementação. O bloco de texto abaixo afirma basicamente apenas que você precisa de um Service Principal configurado com a função Azure Connected Machine Onboarding para fazer uma implementação, e também oferece a opção de criar um novo Service Principal com a função apropriada atribuída.
Neste caso, criaremos um novo Service Principal Test_Arc_SP para nossa implementação.
A seguir, essa interface de criação pergunta quais funções concedemos à nosso novo Service Principal. Podemos selecionar qualquer uma das opções, incluindo o Azure Connected Machine Resource Administrator, sem qualquer contexto adicional ou avisos sobre os privilégios que essas funções conferem.
Por fim, somos apresentados a um dos quatro mecanismos compatíveis para implementar o Arc em hosts locais, como pode ser visto na imagem abaixo. Abordaremos cada um deles com um pouco mais de profundidade na seção Obtendo acesso ao Arc abaixo.
Depois que o Arc for implementado por meio de qualquer tipo de instalação escolhida e se conectar novamente ao Azure, o novo sistema do cliente aparecerá em Azure Arc -> Recursos do Azure Arc.
Ao pensar no uso ofensivo do Arc, a primeira pergunta que me fez fazer foi: “Quando entro em um ambiente corporativo híbrido, que reconhecimento posso realizar para determinar se o Arc está em uso?” Esses indicadores podem ser divididos em duas categorias: Azure e locais.
O acesso ao Arc é controlado via Azure RBAC, o que significa que o acesso ao serviço e até mesmo a visibilidade básica de seu uso estão em grande parte fora do alcance de objetos não atribuídos a nenhuma função em uma assinatura associada a uma implementação do Arc. Dito isso, ainda existem alguns métodos indiretos que podem nos permitir determinar se o Arc está em uso e até mesmo em quais sistemas ele provavelmente está instalado e que podem ser identificados por um usuário sem privilégios do Entra. Percorrendo as etapas do processo de implementação acima, há vários pontos nos quais os objetos são adicionados ou modificados no Microsoft Entra que podem ser observados para determinar se o Arc está em uso em um locatário.
Primeiro, quando uma assinatura em um locatário do Azure é configurada com os Recursos necessários para o Arc (por exemplo, Microsoft.HybridCompute), dois Service Principals intitulados Arc Token Service e Arc Public Cloud – Servers serão criados. Isso não significa necessariamente que o Arc tenha sido de fato implementado em uma organização, mas que pelo menos uma assinatura em um locatário foi configurada de forma a que o serviço fosse suportado. Um exemplo disso pode ser visto abaixo em um novo locatário do Azure, antes e depois de configurar os provedores de recursos necessários para o Arc.
Continuando o processo de implementação, um Service Principals é usado para unir dispositivos ao Arc, conforme descrito no processo de implementação abordado na seção anterior. Pode ser um Service Principals existente anteriormente que teve manualmente as funções de RBAC necessárias atribuídas a ele, ou um Service Principals gerado automaticamente por meio da interface de implementação do Arc. Se um administrador criar um Service Principal diretamente pelo Arc, ela será configurada automaticamente com a tag AzureArcSPN pelo Azure, que pode ser pesquisada por um usuário sem privilégios do Entra diretamente na linha de comando do Azure ou a partir dos resultados de coleta de ROADrecon e AzureHound. Embora novamente não forneça evidências concretas de que o Arc foi de fato implementado, um Service Principal configurado desta maneira mostraria que um administrador neste locatário tinha pelo menos interagido com as etapas do processo de implementação do Arc. Um exemplo da criação de um Service Principal por meio do Arc, bem como os dados de tag identificáveis resultantes coletados pelo ROADrecon, pode ser visto abaixo.
Finalmente, quando um sistema é integrado ao Arc, uma Identidade Gerenciada é criada dentro do Entra para a máquina e pode receber funções tanto no Entra quanto no Azure, como qualquer outro Service Principal. Como essa identidade gerenciada está presente no Entra, por padrão, um diretor sem privilégios pode enumerar sistemas integrados ao Arc filtrando os dados de reconhecimento do Azure coletados para procurar dispositivos com um ResourceID contendo Microsoft.HybridCompute (note que isso é diferente de um sistema híbrido dispositivo se uniu ao Entra e não deve resultar em nenhum falso positivo). Se você tiver acesso à linha de comando do Azure, esse processo será bastante simples, utilizando o seguinte comando:
Essa longa sequência de ResourceID também tem o benefício adicional de conter a ID da assinatura e o grupo de recursos ao qual o sistema está associado, permitindo a identificação de múltiplas implementações de Arc em diferentes ambientes.
Como alternativa, se você coletou dados do Azure via ROADrecon ou AzureHound, você pode analisar esses resultados para identificar objetos gerenciados pelo Arc. No ROADrecon, as informações pertinentes são armazenadas no ResourceID e, nos arquivos de coleta JSON do AzureHound, as mesmas informações são armazenadas no atributo AlternativeNames . Embora não pareça que esse atributo seja copiado para o BloodHound ou não esteja acessível diretamente, a pesquisa direta do arquivo JSON pode permitir a recuperação de uma lista completa de objetos gerenciados.
Os indicadores locais da implementação do Arc se enquadram em uma das duas categorias: localhost e rede. Quando o cliente Arc é instalado em um sistema, ele cria a pasta C:\Program Files\AzureConnectedMachineAgent, que contém todos os arquivos pertinentes relacionados ao cliente Arc. A presença desta pasta, bem como de processos e serviços relacionados ao Arc (por exemplo, gc_arc_service.exe ou arcproxy.exe), pode fornecer algumas coisas simples para verificar. Além disso, com base no mecanismo de implementação usado para enviar o cliente Arc para sistemas na rede, pode haver algumas coisas adicionais que poderiam ser pesquisadas. Por exemplo, se o Arc for implementado via GPO, o processo de configuração criará um GPO gerado automaticamente chamado [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
Então, se identificamos que o Arc está em uso em um ambiente, como obtemos acesso a ele? Para responder a essa pergunta, é importante primeiro entender o que constitui especificamente o acesso que estaríamos interessados. Como o principal objetivo final do acesso normalmente seria executar código em um endpoint gerenciado, trabalhar para trás das permissões que permitem a execução de código para as funções do Azure que concedem essas permissões pode fornecer um bom ponto de partida para contas e funções de nosso interesse. Analisando a pesquisa anterior de Benedikt Trobl na NSIDE Attack Logic, vemos que podemos executar uma consulta do PowerShell que obterá todas as funções que concedem permissões que permitem pelo menos um mecanismo de execução de código por meio do Arc (mais por vir sobre as especificidades desses mecanismos na próxima seção). A consulta e a saída resultante podem ser vistas abaixo:
Além de algumas funções estranhas que se destacam, como Log Analytics Contributor, uma das mais interessantes é a função Azure Connected Machine Resource Administrator (Administrador de Recursos de Máquina Conectada do Azure). Se você se lembra da seção anterior do processo de implementação do Azure Arc, essa era uma das funções atribuíveis ao Service Principal criado durante o processo de implementação do Arc.
Isso essencialmente coloca o Service Principal de implementação que, por necessidade, provavelmente terá seu segredo acessível na rede local , a apenas uma única caixa de seleção (uma caixa de seleção que não apresenta qualquer aviso ou contexto adicional sobre o risco) de se tornar um administrador dentro do Arc. Um Service Principal com esse papel administrativo atribuído de forma inadvertida durante a criação poderia não apenas ser usado para registrar novos clientes Arc dentro do Azure, mas também para executar comandos em qualquer cliente Arc instalado. Foi essa lacuna compreensível que identificamos e da qual tiramos proveito durante nossa avaliação recente, permitindo-nos escalar privilégios por meio do Arc e assumir o controle do ambiente local do cliente.
Esse Service Principal de implementação parece ser um alvo inicial muito bom, especialmente se você não tiver os privilégios necessários para obter listas de outras contas com as outras funções observadas que concedem a execução do código atribuída a elas. Mas como você faria para tentar conseguir acesso a ele? Em primeiro lugar, e provavelmente de forma mais direta, se você tiver um caminho dentro do Entra para obter acesso a um Service Principal associado ao Arc adicionando um segredo a ela (por exemplo, proprietário do Service Principal, Administrador da Aplicação, etc.), você poderá modificar diretamente o objeto e usá-lo para autenticar, potencialmente permitindo que você obtenha acesso privilegiado ao Arc. Além disso, os mecanismos de implementação que a Arc usa também podem ser configurados incorretamente ou permitir a escalada por meio da recuperação do segredo principal do serviço de implementação. Em seguida, daremos uma olhada em cada um dos quatro principais mecanismos de implementação empresarial suportados pelo Arc para identificar possíveis caminhos de escalada a serem verificados.
O método de implementação padrão e mais básico para o Arc é através do download de um script do PowerShell gerado automaticamente que um administrador de TI pode executar em vários sistemas. Esse script extrai o instalador MSI pertinente do site da Microsoft e, posteriormente, executa a configuração de acompanhamento para conectar o cliente instalado ao locatário do Azure correto. De forma um tanto hilária, o mecanismo de autenticação padrão suportado nesse script gerado automaticamente é codificar o segredo do Service Principal que está sendo usado para implementação no script.
Como esse mecanismo de implementação é muito simples, não há muito o que fazer para obter acesso, a não ser ficar de olho, durante o reconhecimento normal do compartilhamento de arquivos, em busca de scripts do PowerShell com o nome de script padrão OnboardingScript.ps1, bem como scripts com nomes ou conteúdo relacionado ao Arc.
Selecionar o Configuration Manager para implementação gera um script PowerShell idêntico ao acima, com a principal diferença sendo que o Arc fornece orientações adicionais sobre como implementar o script diretamente por meio do System Center Configuration Manager (SCCM) da Microsoft, seja por meio de uma execução de script direta ou como uma sequência de tarefas.
Embora esses sejam os dois mecanismos recomendados para implementação, um administrador de TI pode, alternativamente, usar algum outro mecanismo de implementação por meio do SCCM, como uma instalação de pacotes ou aplicação. Independentemente da opção de implementação em uso, é importante ter em mente o conceito de coleções no SCCM, que servem como escopo alvo para a implementação de sequências de tarefas e (opcionalmente) scripts. A tentativa de recuperar dados do SCCM de um host aleatório no ambiente provavelmente não produzirá grandes resultados porque, se o host não for um membro da coleção apropriada, ele não poderá recuperar informações pertinentes na maioria dos casos. Em vez disso, primeiro mover lateralmente para um host que foi identificado como sendo um cliente Arc (ou, melhor ainda, um ponto de gerenciamento SCCM ou servidor de banco de dados) e, em seguida, realizar reconhecimento SCCM provavelmente terá melhores resultados.
O SCCM Configuration Manager contém funcionalidades que permitem aos administradores executar scripts PowerShell em sistemas gerenciados. Os scripts não são extraídos pelo cliente SCCM da mesma maneira que sequências de tarefas ou pacotes; em vez disso, são enviados do servidor sob demanda para os sistemas dos clientes. Para testar isso, podemos criar um script simples no SCCM Configuration Manager usando o script de implementação do Arc gerado automaticamente. Vamos deixar o segredo por preencher por enquanto, pois o sistema que estamos implementando já tem o Arc instalado.
Quando o script é implementado por meio do SCCM, ele é copiado para o diretório C:\Windows\CCM\ScriptStore no sistema do cliente e configurado com uma lista de controle de acesso discricionário (DACL) que restringe o acesso somente a NT_AUTHORITY\SYSTEM, antes de ser executado pelo cliente SCCM. Os arquivos nesta pasta são limpos periodicamente com base nas configurações específicas da instância, mas definitivamente vale a pena verificar este ou outros scripts que possam conter dados sensíveis.
Como alternativa, se você obtiver acesso ao banco de dados SCCM, poderá recuperar diretamente todos os scripts criados no SCCM usando o módulo ScriptData no SQLRecon. Um exemplo da saída da execução desse módulo no banco de dados do site para uma instância do SCCM configurada com um script para implementar o Arc pode ser visto abaixo.
Na verdade, a implementação via script SCCM provavelmente não é muito provável na prática, já que a execução do script SCCM é um processo manual e pontual. Se novos servidores forem colocados on-line e precisarem ser adicionados ao Arc a qualquer momento no futuro, um administrador precisaria se lembrar de entrar novamente e executar o script novamente para aplicá-lo a sistemas adicionais.
Um processo de implementação mais automatizado e escalável seria por meio de uma sequência de tarefas aplicada a uma coleção SCCM. Para testar esse mecanismo, podemos criar uma sequência de tarefas simples que executa o script de implementação do Arc e o implementa em uma coleção SCCM contendo um sistema do qual estamos executando.
Após implementar esse script, podemos executar o comando get secrets no SharpSCCM para recuperar sequências de tarefas acessíveis contendo scripts, já que as políticas contendo scripts têm a flag de segredo adicionada a elas.
A propriedade SourceScript dentro da política pertinente contém uma representação b64 do script original que está sendo transmitido. Convertê-lo de volta para texto simples nos permite recuperar o script original.
Da mesma forma que as opções disponíveis ao recuperar um script, se tivermos acesso ao banco de dados do site SCCM, também podemos recuperar diretamente os dados de sequência de tarefas usando SQLRecon.
A implementação do Arc via Group Policy é um pouco mais complicada do que os dois mecanismos anteriores e consiste em várias etapas que começam com a configuração de um compartilhamento de rede para o qual o script, executado via Group Policy Object (GPO), pode apontar. A orientação oficial afirma de forma útil que todos os computadores do domínio devem ter acesso de leitura + escrita a esse compartilhamento, o que significa que, se esse mecanismo de implementação estiver em uso, o segredo principal do serviço deverá ser recuperável de qualquer contexto NT_AUTHORITY\SYSTEM no domínio.
Após configurar o compartilhamento e baixar + copiar no MSI do cliente Arc, a próxima etapa envolve baixar um repo do GitHub contendo scripts do PowerShell e DLLs associadas que são usadas para criar automaticamente o GPO.
Por fim, é gerado um script do PowerShell que chama os arquivos baixados do GitHub, com argumentos baseados na localização da Compartilhe de implementação Arc configurada anteriormente.
A execução desse script do PowerShell resultante fará com que um GPO seja criado, o que cria uma tarefa agendada que instala o cliente Arc usando os arquivos hospedados no compartilhamento de implementação e o conecta ao Azure. Esse GPO pode posteriormente ser vinculado a uma unidade organizacional (OU) contendo sistemas para implementar o Arc.
Se um GPO que corresponda a essa convenção de nomenclatura for identificado durante o reconhecimento padrão do Active Directory, os arquivos GPO podem ser revisados para determinar a localização do compartilhamento de rede que contém os arquivos de implementação.
Com algum tipo de acesso no contexto de NT_AUTHORITY\SYSTEM, é possível navegar remotamente até esse compartilahmento (se criado com o acesso padrão/recomendado pelo MS), que terá a seguinte aparência:
O mais interessante é o arquivo cryptoServicePrincipalSecret, com o nome extremamente visível. Dê uma olhada no script EnableAzureArc.ps1 mostra que esse segredo é um blob criptografado usando DPAPI-NG.
O DPAPI-NG (ou Cryptographic Next Generation [CNG] DPAPI) permite não apenas a funcionalidade de criptografia e descriptografia DPAPI específica do usuário ou da máquina, mas também operações baseadas nas associações de um objeto. Por exemplo, nessa instância, o blob DPAPI-NG dentro encryptedServicePrincipalSecret é configurado para permitir que qualquer membro do grupo de computadores do domínio o descriptografe. Eu criei um script PowerShell super simples como prova de conceito, mas deve ser bastante simples traduzir o código de AzureArcDeployment.psm1 (que por si só é apenas um código wrapper ao redor.NET) em um assembly que pode ser executado na memória em um beacon no contexto de NT_AUTHORITY\SYSTEM para recuperar e descriptografar o segredo.
Finalmente, todas as outras informações de conexão pertinentes, como ID de Service Principal, ID da Assinatura etc., podem ser encontradas no arquivo ArcInfo.json, também localizado no mesmo compartilhamento de implementação.
A opção final de implementação oficial gera um playbook do Ansible muito semelhante aos scripts do PowerShell abordados acima. As especificações do ataque ao Ansible podem variar bastante com base na configuração e no ambiente e, como resultado, não vamos expandir mais sobre esse mecanismo de implementação.
Embora o Arc ofereça suporte ao gerenciamento de hosts Linux, os métodos de implementação disponíveis diretamente na pá do Arc no Azure se inclinam fortemente para dispositivos baseados no Windows. As implementações do Linux são suportadas por meio do uso de um script bash, mas da mesma forma que as implementações do Ansible, elas provavelmente terão um grau muito maior de variação quando aplicadas em um ambiente corporativo.
Continuando, vamos supor que recuperamos com sucesso o segredo de um diretor de serviço e que esse diretor de serviço (ou outra conta recuperada) tem privilégios de execução no Arc. Como o objetivo principal do Arc é expor os dispositivos locais ao plano de controle do Azure, uma variedade de primitivas de execução de código normalmente associadas às VMs do Azure entram no escopo para obter acesso a hosts locais que tenham o cliente Arc instalado. No entanto, manter o foco em avenidas de execução que exigem apenas as permissões específicas do Arc acima mencionadas oferece duas categorias amplas de ações de execução: comandos de execução e adições/modificações de extensão. Ambos os vetores de execução funcionam de forma praticamente idêntica a uma execução equivalente em relação a uma VM do Azure e foram documentados extensamente por outros em blogs/ferramentas anteriores, portanto, não nos aprofundaremos muito em detalhes específicos sobre eles além do uso operacional e algumas peculiaridades legais que são tão amplamente documentado.
O comando de execução é uma espécie de pseudo-extensão que compartilha muitas das características do disco e especificidades da árvore de execução com outras extensões, mas é instalada automaticamente junto com o Arc e não aparece na lista de extensões instaladas de um sistema gerenciado. Esse recurso permite uma maneira direta de executar comandos em um cliente gerenciado através do Arc, com o principal pré-requisito é que a versão do cliente deve ser >= 1.33. Você pode verificar isso com o comando az connectedmachine show, conforme mostrado abaixo.
Observe que a tentativa de executar um comando por meio da linha de comandos az (CLI) exige não apenas as permissões de gravação observadas anteriormente, mas também privilégios de leitura no grupo de recursos, que, por padrão, uma entidade de serviço gerada automaticamente não terá. Como resultado, tentar executar um comando diretamente de CLI de az resultados em erro.
Isso pode ser ignorado interagindo diretamente com a API REST do Azure, embora não seja possível recuperar a saída dos comandos executados. Neste exemplo, criaremos um trabalho de execução chamado run-notepad que apenas inicia o notepad.exe no sistema do cliente.
O comando transmitido é gravado em um script do PowerShell na pasta C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, com um nome correspondente ao nome do trabalho de execução conforme criado no Arc e, por fim, executado no contexto de NT_AUTHORITY\SYSTEM.
Este script do PowerShell não é excluído automaticamente na conclusão da execução, embora execuções adicionais de um trabalho de execução com o mesmo nome façam com que o script original seja excluído e um novo criado com um sufixo iterado, como visto abaixo.
Além desse script, vários outros arquivos são criados no disco durante cada execução de comando de execução. Isso será abordado com maior profundidade na seção Orientação defensiva.
Além disso, lembre-se de que um comando de execução cria um objeto no Azure que precisa ser excluído posteriormente após a conclusão da execução. Como essa ação não é lida no nível do grupo de recursos, ela pode ser executada diretamente por meio da CLI de az.
Os clientes do Arc podem ter sua funcionalidade aumentada por meio da instalação de uma variedade de extensões aprovadas pela Microsoft, da mesma forma que as VMs do Azure. A extensão mais frequentemente explorada é a Custom Script Extension (CSE) for Windows, que permite a execução de comandos arbitrários e o download de arquivos da internet. No entanto, outras extensões oferecem diferentes árvores de execução que podem ajudar a evitar uma detecção estática focada na execução de um CSE. Em seguida, daremos uma olhada na execução por meio de um CSE, bem como na extensão do Windows Admin Center.
Supondo que você esteja executando no contexto de um Service Principal provisionado com a função de Administrador de Recursos de Máquinas Conectadas do Azure em uma assinatura com configurações padrão, você precisará novamente enviar comandos por meio da API REST do Azure. Antes da execução, uma ressalva da execução baseada em extensão é que apenas uma única cópia de uma extensão pode ser implementada em um host em um determinado momento, o que significa que, se um CSE já tiver sido adicionado ao host alvo, você precisaria atualizar da extensão existente em vez de criar uma nova extensão. A lista de extensões atualmente instaladas em um host pode ser recuperada da CLI de az com o seguinte:
Neste caso, ainda não há extensões instaladas neste host:
Vários argumentos são necessários ao criar um CSE, e o mais importante deles é o ProtectSettings arg, pois ele contém um atributo commandToExecute opcional. Aproximadamente, esse atributo é onde os argumentos de execução de comando são colocados. Um exemplo de comando da CLI de z que pode ser executado na API de REST para criar um CSE que inicia o Bloco de Notas pode ser visto abaixo:
Execução mais uma vez resulta em uma execução no contexto de NT_AUTHORITY\SYSTEM.
Depois que um CSE tiver sido criado, você também poderá verificar seu status atual por meio da API REST, usando um comando formatado da seguinte forma:
Ao fazer isso, podemos ver que a implementação do CSE permanece em estado de execução até que o processo lançado seja encerrado no sistema do cliente.
É importante ter esse comportamento em mente, pois as extensões não podem ser interrompidas à força, mesmo tentando excluir o CSE. Isso significa que, se você iniciar um CSE que gere um processo de execução longa que não concede acesso ao sistema e você não tiver outro mecanismo (como comandos de execução) que permita encerrar o processo, você poderá ficar fora de outras execuções de CSE até que o sistema seja reiniciado. Além disso, se você estiver usando um CSE como mecanismo para implementar um beacon C2, é recomendável migrar do processo de origem para que você possa limpar o objeto CSE.
Continuando, digamos que queremos fazer algo um pouco mais avançado com nossa execução CSE do que apenas executar o Bloco de Notas. Existem várias opções para atualizar nosso CSE atual, e podemos atualizar no local ou remover a extensão do CSE e reimplantar. A atualização no local é mais simples, mas depende de que a execução anterior do CSE esteja em alguma forma de estado concluído (por exemplo, bem-sucedido, com falha) antes da execução. Para atualizar um CSE já existente, você pode simplesmente modificar e reenviar o comando original que você passou para a API de REST para criá-lo, alterando o valor do atributo commandToExecute para qualquer que seja o seu comando atualizado. Isso traz o benefício adicional de manter a estrutura de pastas do CSE no sistema do cliente entre as execuções.
Descobri que, em alguns casos, o CSE pode ficar travado em um estado de Creating, mesmo quando o processo executado não está mais em execução no sistema do cliente. A melhor maneira que encontrei de identificar esse estado é verificar a lista de extensões no host afetado, o que previsivelmente mostrará o host em um provisioningState de Creating, mas se um processo ainda estiver sendo executado pelo host, você também veja uma mensagem de status mostrando que a execução está ocorrendo.
Se você encontrar seu CSE neste estado "Criando, mas não em execução", a melhor abordagem é excluí-lo completamente (se tiver certeza de que o processo executado com ele não está mais em execução), o que pode ser feito com o seguinte comando:
A tentativa de excluir um CSE quando o executável subjacente ainda está em execução (por exemplo, um beacon https funcionando como NT_AUTHORITY\SYSTEM que não pode sair devido a controles de proxy) não fará com que o processo seja encerrado, nem fará com que o CSE se exclua . Em vez disso, isso pode resultar na extensão do CSE ficando presa em um estado Deleting indefinidamente, com a única remediação completa que identifiquei sendo excluir o objeto pai da identidade híbrida do Azure, desinstalar o cliente Arc do sistema gerenciado e reinstalar tudo. Pode parecer assustador, mas depois que percebi isso, foi como um processo de cinco minutos para colocar tudo em funcionamento novamente.
Outra coisa para ter em mente sobre a exclusão de CSEs: o processo de exclusão remove a pasta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension do disco do sistema do cliente, apagando todos os arquivos que você possa ter carregado ou modificado nessa estrutura. Além disso, leva de três a cinco minutos para processar o comando de exclusão do CSE no Azure; Isso é normal.
Uma das coisas interessantes que um CSE pode fazer, além de executar comandos, é baixar arquivos da Internet. Uma variedade de arquivos pode ser especificada sob o argumento de configurações no atributo fileUris, que permite o download de arquivos para a pasta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator] . Essa estrutura de pastas persiste até que o CSE seja excluído do Azure, quando então tudo relacionado à extensão CSE é excluído do disco. Isso significa que você poderia criar um script que copiasse arquivos para fora dessa pasta para outro lugar no disco, permitindo um mecanismo para contrabando de arquivos que não depende de uma base tradicional de download na web. Como esses arquivos persistem depois de serem migrados para fora do diretório padrão, eles podem ser copiados e, em seguida, executados com um CSE subsequente de outro lugar no disco, interrompendo uma detecção estática que depende da identificação de execuções da pasta de downloads de CSEs anotada anteriormente.
Ao criar uma lógica mais avançada como essa, que pode ou não ser bem-sucedida, também é útil poder recuperar a saída que indica se uma execução foi bem-sucedida ou não. Embora não seja possível recuperar diretamente a saída das execuções CSE, os códigos de saída são retornados, o que significa que podemos incluir desvio condicional em nosso código que sai com um código específico com base no estado atual do programa (por exemplo, cópia de arquivo com sucesso) . Juntando essas peças, vamos realizar uma demonstração super planejada que faz o seguinte:
Um script simples do PowerShell que realiza essas coisas seria algo como:
Ao formatar com todos os sistemas de fuga necessários para permitir que o script seja transmitido em um blob JSON por meio da API az REST, obtemos um comando semelhante ao seguinte:
Executamos o comando acima e, depois de esperar um minuto para a conclusão da execução, podemos verificar o status com o comando az connectedmachine extension list. Executar isso mostra que recebemos um código de saída 10 de volta, indicando uma execução bem-sucedida. A mensagem de erro é uma mensagem genérica que indica um código de retorno diferente de zero, que não nos diz respeito.
Verificando o sistema remoto, também podemos verificar se os arquivos foram copiados com sucesso.
Como podemos ver, esse código começa a ficar complicado rapidamente. Para simplificar ainda mais as coisas, também seria possível baixar um script do PowerShell adicionando-o à matriz fileUris e, em seguida, chamando-o a partir do atributo commandToExecute.
Antes de migrarmos, deixe-me compartilhar uma última ideia sobre como você pode aumentar a furtividade dessa técnica alterando sua impressão digital de execução. Se você se lembra do lançamento inicial do nosso processo via CSE, o cmd.exe aparecia na parte superior da árvore de execução, sem um processo principal visível.
Dar uma olhada neste processo de cmd.exe mais alto mostra uma ID de Processo pai (PID) inexistente de 5068.
Podemos nos aprofundar um pouco mais com o Process Monitor, mostrando que nossa desconhecida ID de Processo Principal (PPID) de 5068 era outra instância de cmd.exe, que criou nossa árvore de processos atual por meio de uma chamada de cmd /c. Esse processo de cmd oculto foi gerado pelo gc_extension_service.exe na PID 3588 por meio da execução do script enable.cmd.
Por que tudo isso importa? Bem, atualmente, temos uma árvore de execução bastante estática de gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [tudo o que executarmos via CSE]. Se pudéssemos nos inserir no topo dessa cadeia, poderíamos ignorar as detecções focando em execuções suspeitas que vêm dessa conhecida estrutura de árvore de processos. Como este arquivo .cmd é apenas um script não assinado sendo executado por NT_AUTHORITY\SYSTEM fora de um local conhecido como resultado de um evento que controlamos (criando ou modificando um CSE), seria possível modificar esse script para redirecionar o fluxo de execução padrão para chamar um processo de nossa escolha. Supondo que nosso único vetor de execução no host seja por meio do Arc, isso apresenta um problema um pouco mais complicado, pois precisaríamos executar através de uma árvore de processos conhecida para modificar esse arquivo. No entanto, realizar modificações de texto em um arquivo não assinado tem um perfil de detectabilidade muito menor quando comparado a outras ações típicas pós-invasão. Não entrarei em mais detalhes sobre essa modificação (ou outras modificações semelhantes que poderiam ser feitas em outras extensões), mas apenas uma ideia de algo legal que você poderia fazer.
Até este ponto, nós nos concentramos em ataques possíveis usando a API REST não interativa do ponto de vista de uma Entidade de Serviço superprovisionada configurada com a função de Administrador de Recursos de Máquina Conectada do Azure. No entanto, se tivermos uma conta que tenha acesso à interface gráfica do usuário (GUI) da web, o escopo do que pode ser feito aumenta substancialmente. Há uma variedade de extensões que podem ser enviadas para clientes gerenciados e abrir novos caminhos de execução de código, mas quando eu estava bisbilhotando o Arc, um que acabou sendo do meu interesse foi o Windows Admin Center (WAC). O Arc pode implementar o componente de gerenciamento de back-end do Windows Admin Center, uma ferramenta autônoma de gerenciamento remoto lançada pela Microsoft, por meio de uma extensão do Arc. Não é possível interagir diretamente com esta extensão por meio da API REST do Azure, que eu saiba, mas uma variedade de opções de gerenciamento de sistemas são expostas por meio da GUI, uma vez implementadas em um cliente.
Após a extensão WAC (lol) ter sido instalada em um sistema gerenciado pelo Arc, ela pode ser acessada diretamente através do portal do Arc, navegando até o dispositivo gerenciado, supondo que você tenha a função apropriada atribuída (ou possa atribuí-la a você mesmo).
Com o acesso apropriado configurado, você pode se conectar à interface de gerenciamento e executar o código por meio de uma variedade de mecanismos diferentes, incluindo criação de processos, criação/modificação de tarefas agendadas, modificação de serviço e modificação de registro. Evitarei entrar nos detalhes específicos de cada um deles, mas discutirei rapidamente a criação de processos como um exemplo que demonstra algumas das peculiaridades da execução por meio do WAC.
A criação de processos é provavelmente a maneira mais direta de executar código via WAC: basta inserir um processo para iniciar (com argumentos opcionais) e clicar em Iniciar.
Curiosamente, isso é executado no contexto de uma conta virtual (WAC_[seu nome de usuário do azure]), mas em um contexto de alta integridade com privilégios completos de token, como pode ser visto ao enviar um whoami /priv para um arquivo de texto no disco.
O processo em si é gerado como filho do WmiPrvSe.exe, uma árvore de processos familiar para aqueles familiarizados com o movimento lateral via Process.Create. Quando um comando é executado dessa forma, a conta virtual tem uma pasta de usuário criada para ela no disco, deixando para trás ainda mais IOCs que devem ser limpos. No entanto, com certeza é fácil de usar!
Além desses vetores de execução de código, há vários outros recursos de gerenciamento, como navegação por arquivos gráficos e compartilhamento de arquivos, um recurso essencial para o seu próprio C2 de nível empresarial.
O WAC também possui um painel de controle de VM, que permite a instalação do Hyper-V no sistema gerenciado e, posteriormente, a implementação e o gerenciamento de VMs.
A princípio, essa funcionalidade parecia muito promissora, mas tive problemas ao tentar descobrir como implementar um arquivo ISO no host. O navegador de arquivos dentro do WAC tem funcionalidade de upload integrada, mas infelizmente tem um limite bastante baixo no tamanho do upload. Isso significava que um mecanismo de fallback precisaria ser implementado para obter um ISO adequado no sistema para criar uma VM. Foram encontrados problemas subsequentes que provavelmente também se apresentariam em um ambiente corporativo em relação à virtualização aninhada. Como muitos sistemas em um ambiente empresarial são normalmente virtualizados, o Intel VT-x /AMD-V precisaria estar habilitado no sistema para permitir a virtualização aninhada.
Finalmente, com todas essas funcionalidades disponíveis, não há falta de ataques interessantes que você pode executar via substituição de arquivos ou modificação para sequestrar o que o Arc / WAC está fazendo em segundo plano para mascarar ainda mais quaisquer ações pós-invasão. Lembre-se, esta é apenas uma das muitas extensões disponíveis para deploy em clientes gerenciados pelo Arc; sem dúvida existem vetores de execução de código semelhantes em outros que podem oferecer funcionalidade adicional.
Observe que o WAC realiza suas próprias instalações independentes e, portanto, expande significativamente a pegada de carbono e os requisitos de limpeza associados a um comprometimento. Além disso, as ações executadas no contexto de uma conta WAC_ resultarão em ações adicionais no disco, como a criação de uma pasta de usuário, embora nenhum perfil de usuário local seja gerado para a conta. Dito isso, embora sirva como um recurso legal que abre vários vetores de execução de código, talvez seja algo que eu ignore em servidores de missão crítica.
Digamos que você recuperou um segredo principal do serviço, mas ele foi devidamente provisionado para permitir apenas a integração de sistemas. Ainda pode valer a pena tentar integrar um sistema que você controla para ver se alguma instalação ou configuração automatizada contendo material credencial adicional é enviada para seu sistema.
Este é um tópico que eu não tinha visto muito mencionado até o recente blog de Andy Gill sobre o uso do Arc como um mecanismo de C2. O Arc é excelente, pois é um produto legítimo da Microsoft e se comunica diretamente com endpoints de API conhecidos no Azure, o que significa que normalmente é negligenciado pelos produtos de detecção e resposta de endpoint (EDR). Embora eu não esteja recomendando a tentativa de operar por meio do Arc, ele serve como um mecanismo interessante fora de banda para persistência de fallback em um ambiente. Mesmo que um host tenha ingressado de forma híbrida em um ambiente Entra, não há requisito de que ele se conecte a uma instância Arc hospedada no mesmo locatário. O que isso significa é que, se você tiver um contexto de alta integridade em um host que ainda não seja gerenciado via Arc, poderá implementar seu próprio cliente Arc e gerenciá-lo por meio do seu próprio locatário do Azure.
Como o blog do Andy detalha muito o uso geral do Arc para persistência, só adicionarei um pequeno ponto sobre a operacionalização quando o acesso baseado em GUI não for possível (como o que seria típico ao operar por meio de um agente C2). Analisando os scripts de implementação, o processo de instalação do cliente Arc consiste amplamente em duas partes: a instalação do cliente real por meio de um instalador MSI e a conexão do cliente instalado a um locatário do Azure por meio de args de linha de comando passados para o Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos os passos neste processo podem ser concluídos localmente ou remotamente (usando sua Avenue preferida de execução de código de movimento lateral) a partir de um contexto de linha de comando não interativo, usando a sintaxe aproximada de:
1.
2.
Depois de conectado, o sistema será exibido na lâmina Arc em seu locatário do Azure, e você poderá usar a CLI do az, a API de REST do az ou a GUI para executar ações nele. Agora que o cliente Arc está conectado a um locatário sobre o qual você tem controle total, há também uma gama mais ampla de opções disponíveis para execução subsequente de código que se estendem além do escopo do que foi abordado neste blog.
Um ponto adicional sobre a implementação do Arc: infelizmente, você não pode conectar "por cima" de outra configuração do Arc sem primeiro desconectar a conexão existente do Arc — uma operação que requer a função de Administrador de Recursos de máquina conectada do Azure. Você provavelmente poderia contornar isso desinstalando completamente e reinstalando o cliente Arc, mas essa não seria minha primeira opção de execução ou persistência. O que isso significa é que, se um sistema já tiver o Arc instalado, você deve se concentrar em obter acesso a ele por meio da conexão existente, em vez de tentar estabelecer uma conexão com seu próprio locatário nele.
Observação: esta lista não pretende conter uma lista exaustiva de todas as pesquisas relacionadas ao uso ofensivo do Arc; na verdade, ele contém uma lista de artigos e palestras que me ajudaram a entender a plataforma, bem como os vetores de ataque disponíveis por meio dela.
