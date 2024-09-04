组织持续推进云原生服务的落地，这一转型趋势推动了混合身份环境的广泛应用，此类架构可实现本地 Active Directory 与 Microsoft Entra ID（前身为 Azure AD）的无缝对接。在混合身份环境的设备管理领域，Microsoft Intune 已发展为当下最主流的解决方案之一。但由于该企业级可信平台能够便捷地集成本地 Active Directory 的设备与服务，它也因此成为攻击者的主要目标，被其滥用于横向移动与代码执行攻击。
本研究将介绍 Intune 的技术背景、组织实际应用场景，并阐述如何利用这一云原生平台部署自定义 Windows 应用，以实现对用户终端的代码执行。此外，研究内容还包含面向公众发布的全新 Microsoft Sentinel 检测规则，可帮助防御人员识别借助 Intune 实施横向移动的攻击行为，同时提供针对 Intune 平台的安全加固指导方案。
Andy Robbins 曾于 2020 年发布一篇极具参考价值的博文，标题为《从天而降的攻击：从 Azure 到本地 AD 的横向移动》。该文详细阐述了如何滥用 Intune 向目标主机部署 PowerShell 脚本的攻击手法，并针对此类攻击场景给出了防御指导建议。我们 X-Force 团队的研究成果在 Robbins 的研究基础上进一步拓展，不仅揭示了如何借助 Windows 应用实现定向代码执行，还提出了对 Windows 主机进行即时触发、使其下载并运行恶意应用的攻击路径。本研究还包含新编写的 Microsoft Sentinel 检测规则，可用于识别滥用 Intune 实施横向移动的行为，同时提供了针对 Intune 平台的安全加固指导方案。
Chris Thompson 曾发布一款名为 Maestro 的工具（在 DEF CON 32 Demo Labs 发布）。该工具可通过 Intune 开展用户与设备信息侦察，还能依托 C2 框架，借助 Intune 的 PowerShell 脚本或 Windows 应用执行命令。强烈建议大家关注这款工具以及 Chris 的相关研究成果！而 X-Force 团队的研究则与之有所不同，本研究将阐述如何通过 Microsoft Intune 网页控制台实施此类横向移动攻击，同时还会介绍如何将多个文件打包整合，以自定义 Windows 应用的形式进行部署，最终实现代码执行。此外，X-Force 团队的这项研究还提供了更多触发 Intune PowerShell 脚本与 Windows 应用运行的方法，同时发布了Microsoft Sentinel 检测规则逻辑，可用于识别滥用 Intune 实施横向移动的攻击行为。
许多企业已开始部署混合身份环境，即将本地 Active Directory 环境与 Microsoft Entra ID（前身为 Azure AD）进行对接。该架构能帮助组织提升运营的灵活性与效率，具体体现在优化用户设备管理流程、改善用户对云应用的访问体验等方面。具体而言，当设备完成混合域加入后，可同时在本地 Active Directory 和 Microsoft Entra ID 中被识别与管理。而正是基于这一配置特性，一旦云侧设备管理方案被攻击者攻陷，就可能被用作跳板，向本地设备（例如已完成混合域加入的用户工作站）发起横向移动攻击。
Microsoft Intune 是一款云原生设备管理解决方案，可用于管理接入 Azure 的各类设备（例如混合域加入设备）的配置。下文将重点阐述组织和对 Intune 的应用与管理方式。
Microsoft 针对企业级设备管理场景，提供了多款解决方案。以下为其中的部分方案列表：
组织使用 Microsoft Intune 的主要战略用例：
Microsoft 针对 Intune 中可用的各类角色及其对应权限，提供了详尽的官方文档。在 Intune 中，拥有创建 PowerShell 脚本或 Windows 应用权限的两类高权限角色分别为：全局管理员与 Intune 服务管理员（亦称 Intune 管理员）。
通过 Microsoft Intune 在 Windows 主机上实现代码执行的方式有多种。可部署 PowerShell 脚本，借助脚本内的直接命令执行完成代码运行。在 Windows 设备上实现代码执行的其他方式，包括部署各类应用程序。以下列出其中几种值得重点关注的应用类型：
Intune Management Extension 会将日志文件写入路径：C:\ProgramData\Microsoft\IntuneManagementExtension\Logs。这些日志可用于排查设备与 Intune 的同步签到情况，以及核实是否有 PowerShell 脚本或 Windows 应用在设备上运行。
当 Intune 运行 PowerShell 脚本时，会先在磁盘路径 C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts 中创建该脚本的临时副本，随后将脚本执行结果存储至 C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results 路径。脚本执行完成后，这些临时脚本文件与执行结果文件会被自动删除。
当 Intune 运行 Windows 应用时，该应用会被部署并从路径 C:\Windows\IMECache[UNIQUE_GUID] 中启动执行。应用运行完毕后，此目录会被自动删除。
有多种横向移动技术已被安全产品供应商与防御安全从业者广泛熟知，这些技术在 MITRE ATT&CK 框架中也有详尽的文档记载。这类 Windows 横向移动技术主要利用能够执行程序或脚本的管理类协议与服务来实施攻击。威胁参与者与红队人员常用的典型横向移动技术包括：借助 Windows Management Instrumentation (WMI)、计划任务、系统服务以及分布式组件对象模型 (DCOM) 来执行程序或脚本。从操作安全的角度来看，找到一种依托可信软件、能够执行脚本与程序的独特技术至关重要。此类技术可与企业日常业务活动的流量特征相融合，从而可能被防御安全团队忽视。
如果攻击者攻陷了一个拥有 Microsoft Intune 基于角色的访问章节所述对应权限的 Azure 用户账号，便可通过部署 PowerShell 脚本或 Windows 应用，在所有安装了 Intune 代理的 Windows 主机上执行代码。这种方式可作为一种隐蔽且独特的横向移动执行触发手段，其流量源于企业可信软件，具备极强的隐蔽性。
下文中展示的攻击场景，均基于攻击者已获取 Intune 管理中心内的高权限访问权限这一前提。此外，本攻击场景的核心目标是：以 Intune 作为横向移动的执行触发载体，在目标主机上通过 Cobalt Strike 信标建立交互式命令与控制 (C2) 连接。
Intune 借助 Entra ID 组来管控脚本或应用的运行范围。因此，若你要攻击的某台主机或某组主机尚未加入任何用户组，就需要为其创建一个专属组，以此实现对脚本或应用运行目标的控制。通常在混合身份环境中，你可以直接在 Entra ID 中查看某一用户关联的所有设备，据此即可整理出一份目标主机清单。此外，这类信息也可通过自动化工具或脚本进行批量获取，例如 ROADtools 这类工具。
若需创建一个新的 Microsoft Entra ID 组来分配目标主机，可在 Intune 管理中心内依次选择“组”>“新建组”选项。
你可以选择添加目标主机或目标用户，具体操作可参考下方对应截图。本示例中，我们创建的组将以主机 WIN-8675309 作为定向目标。
此时页面会展示该组的配置摘要，确认无误后你即可完成组的创建。
采用部署 Windows 应用而非 PowerShell 脚本的方式，也可实现代码执行。这种方法的灵活性更高，支持打包多个文件，由 Intune 代理在目标主机上完成部署与执行。从攻击者的角度来看，该方式非常适用于载荷投放场景，例如部署需要依赖多文件的 DLL 侧载载荷。下文将详细介绍通过 Intune Windows 应用部署 Dism.exe DLL 侧载载荷的具体流程。
使用 Microsoft 的 Win32 Content Prep Tool，将载荷文件打包为 .intunewin 格式文件内。这是一种压缩文件格式，支持安全部署应用程序。关于该打包工具的工作原理细节，可参考这篇博文。本示例中，我们准备了一个包含可执行文件与 DLL 文件的目录，随后通过 Win32 内容准备工具将这些文件打包为 .intunewin 格式文件内。
生成的 .intunewin 文件会被写入你指定的输出目录中。本示例中，我们已将 Dism.exe 与 DismCore.dll 这两个文件打包至 Dism.intunewin 文件内。
完成 Windows 应用安装包的制作后，即可继续执行部署流程。在 Intune 管理中心内，依次导航至“应用”>“Windows 应用”>“添加” 选项。
从下拉菜单中选择 “Windows 应用 (Win32)”：
上传此前生成的 .intunewin 文件，并填写该应用的相关信息。
下一步，添加安装命令，本示例中对应的可执行文件为 Dism.exe。卸载命令可任意填写。此外，我们将应用的运行身份设置为“系统”，并将设备重启行为配置为“不执行特定操作”。选择“系统”身份意味着，该应用将以 NT AUTHORITY\SYSTEM 账户的权限运行。
检测规则的作用是：当目标设备上已存在该应用时，阻止其重复安装。也就是说，若检测规则判定应用已存在，安装流程就会终止。由于我们希望该应用无论何种情况都能执行，因此本示例中上传了一个特殊的 PowerShell 脚本，该脚本会尝试调用一个不存在的二进制文件。这样一来，检测脚本的执行结果会始终判定为“应用不存在”，进而确保安装流程持续进行。
跳过“依赖项”与“替代项”配置环节，直接在“分配”板块中，添加包含目标主机的用户组。
完成 Windows 应用的创建后，你可在 Intune 管理中心的应用列表中看到该应用，且其“已分配”列的状态应显示为“是”。这表明该 Windows 应用已成功分配至你指定的用户组，正处于待部署与待执行状态。
若要在目标主机上临时触发 Intune 代理执行任务，我们可以重启“IntuneManagementExtension”服务。重启后，目标主机最长需要5 分钟的时间，从 Intune 服务器下载并运行该 Windows 应用。若 5 分钟后目标主机仍未完成应用的下载与运行，则可能需要再次重启该服务。其他临时触发方法可参见本文的临时触发章节。
服务重启后，服务重启后，你可监控 AgentExecutor.log 与 IntuneManagementExtension.log 这两份日志文件（在目标主机的 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs 目录下）。当 AgentExecutor.log 文件的最后修改时间发生更新时，即表明 Intune 代理已完成该 Windows 应用的下载与运行操作。此外，你还可以通过监控 C:\Windows\IMECache 目录，确认应用文件的下载时间。该目录下会生成一个带有唯一 GUID的子文件夹，用于存放已下载的应用文件。
至此，该 Windows 应用已完成部署与执行，且我们已在目标主机 WIN-8675309 上成功获取 Cobalt Strike 信标。
本节将阐述多项防御考量要点，用于针对本研究中所描述的攻击场景，强化 Intune 的配置加固能力与威胁检测能力。
若要为滥用 Intune 的横向移动活动创建检测或威胁搜寻规则，首先需要启用日志记录。在 Intune 管理中心内，依次选择“租户管理”>“诊断设置”>“添加诊断设置”。
勾选“审计日志”与“操作日志”，随后选择将日志发送至日志分析工作区。
你会发现 IntuneAuditLogs 与 IntuneOperationalLogs 这两类日志的架构数据，开始在日志分析工作区中逐步填充。
当日志分析工作区开始接收 Intune 日志后，你即可将该工作区接入 Microsoft Sentinel 实例，进而着手构建威胁搜寻与分析规则体系，具体方法将在下一节详细阐述。
目前，暂未存在可直接用于 Microsoft Sentinel 的公开分析规则，能够检测本研究中所描述的这类 Intune 攻击场景。因此，下文将提供多项规则逻辑，可将其配置为 Microsoft Sentinel 中的计划分析规则，用以针对下述 Intune 攻击场景开展检测。
对于每一项此类分析规则，建议你在自身环境中开展充分的测试与调优工作。下文高亮展示的 KQL 查询语句可直接从该 KQL 查询语句仓库中复制粘贴使用。
下方链接中的规则逻辑会实现如下告警效果：只要有用户创建用于部署的 PowerShell 脚本或 Windows 应用，系统就会触发告警。
CreatedPSScriptOrWindowsApp.kql
以下屏幕截图显示此规则在 Microsoft Sentinel 中触发的示例。
下方链接中的规则逻辑可筛选出所有在 24 小时内创建并删除 PowerShell 脚本的用户。此类行为可能是攻击者在部署 PowerShell 脚本后，试图销毁操作痕迹的佐证。
以下屏幕截图显示此规则在 Microsoft Sentinel 中触发的示例：
下方链接中的规则逻辑可筛选出所有在 24 小时内创建并删除 Windows 应用的用户。此类行为可能是攻击者在部署 Windows 应用后，试图销毁操作痕迹的佐证。
CreatedAndDeletedWindowsApp.kql
以下屏幕截图显示此规则在 Microsoft Sentinel 中触发的示例：
下方链接中的规则逻辑可筛选出所有在 24 小时内创建 PowerShell 脚本 / Windows 应用，且同时发起设备重启操作的用户。
CreatedPSScriptOrWindowsAppForcedRestart.kql
以下屏幕截图显示此规则在 Microsoft Sentinel 中触发的示例：
下方的规则逻辑可筛选出所有在 24 小时内创建 PowerShell 脚本或 Windows 应用，且同时发起设备同步操作的用户。
CreatedPSScriptOrWindowsAppForcedSync.kql
以下屏幕截图显示此规则在 Microsoft Sentinel 中触发的示例：
管理员可创建审批策略，要求指定用户组中的成员必须对所有新增脚本或应用的部署操作进行审批。将此类策略与前文所述的检测规则结合应用，能够显著提升你的 Intune 实例的安全状况。
导航至“租户管理”>“多重管理审批”>“访问策略”>“创建”。
填写必填信息，例如访问策略名称、说明和配置文件类型。在配置文件类型中，选择“脚本”。
添加一个或多个组，由其负责审批所有新增脚本的部署操作。
策略创建完成后，你会在“访问策略”选项卡中看到该策略已成功加载并显示。
该策略生效后，当用户尝试创建新脚本时，会收到下述提示信息。用户提交附带业务说明的申请后，指定审批组的审核人员需审批通过，该脚本才能获准部署。
前文所述的相同步骤也可用于配置应用部署的强制审批要求。创建访问策略时，需确保在“配置文件类型”下拉菜单中选择“应用”选项。
你可查看已创建策略的概要信息，其中包含已选定的“应用”类型配置文件。
该策略生效后，当用户尝试创建新应用时，会收到下方提示信息。用户提交附带业务说明的申请后，需由指定审批组的审核人员审批通过，该应用方可部署。
Microsoft 发布了一份 Microsoft Entra ID 最佳实践指南，其中详细阐述了加固 Microsoft Entra ID 配置安全性的操作指引。针对 Microsoft Intune 中特权角色滥用风险的防护，部分重点建议如下：
混合身份架构的落地应用与云服务的使用规模正持续扩大。各类组织均依赖此类云服务实现企业基础设施的管理，其中涵盖对接入 Office 365 及其他云服务的用户终端与个人设备的管控。在此背景下，针对 Microsoft Intune 等云服务滥用行为的有效检测，其重要性已达到前所未有的高度。X-Force 开展本项研究，旨在点明相关风险，并启发业界进一步探索防护策略，以保障其他核心业务云服务的安全——此类服务亦可能被威胁参与者利用，实施横向移动与代码执行攻击。
特别感谢以下人员为本研究提供反馈意见，并参与博客文章内容的审阅工作：
