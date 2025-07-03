我对 Microsoft Azure Arc 的研究始于近期的一次红队行动。期间我们意外发现了一个 PowerShell 脚本，其中包含硬编码的服务主体密钥，该脚本负责将 Arc 部署至本地环境系统。由于当时我对这项服务了解不多，便开始展开研究，以明确利用回收的凭据可执行哪些操作。最终，我们借助该领域先前研究中记录的技术，成功在域控制器上实现代码执行，并横向渗透回 Microsoft Azure 云环境。但这一过程也引发了我对 Arc 相关更广泛问题的思考：如何在目标环境中识别 Azure Arc 的部署痕迹？可能存在哪些（错误）配置会导致权限提升？其中还存在其他哪些代码执行路径？它能否被用作带外持久化机制？

那么，什么是 Azure Arc？从宏观层面来看，Azure Arc 将 Azure 原生管理能力延伸至各类非 Azure 资源（如本地环境系统、Kubernetes 集群及 vCenter 部署环境），使这些资源能够通过 Azure Resource Manager 进行管理，管理方式与 Azure 原生主机完全一致。一旦在目标主机上部署 Arc 代理，该代理会将底层资源注册到 Azure 平台，并开放一系列管理功能：监控、策略强制执行、更新管理等。不过，最让我关注的是其一项核心能力，可通过一个受信任进程，以 NT_AUTHORITY\SYSTEM 权限上下文远程下载文件并执行命令。尽管 Arc 的部分功能与 Intune 存在重叠，但 Arc 的设计初衷是管理基础设施和服务器，而非终端设备或移动设备。

Azure Arc 并非全新技术（最初于 2019 年发布），此前已有相关研究阐述了其用于代码执行和环境持久化的实现方式。此外，针对 Azure 虚拟机 (VM) 的现有攻击研究与 Arc 存在大量重叠，因为配置了 Arc 的本地环境系统可通过 Azure 进行管理，其管理模式与 Azure 原生虚拟机高度一致。本文旨在补充更多技术背景：重点探讨现有研究中尚未深入覆盖的领域，梳理该平台在典型红队运营流程中的攻击性应用场景，并为 Azure Arc 部署提供相应的防御指导建议。