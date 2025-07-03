Meine Forschung zu Microsoft Azure Arc begann während einer kürzlichen Red-Team-Operation, bei der wir auf ein PowerShell-Skript stießen, das ein fest codiertes Service Principal-Geheimnis enthielt, das für die Bereitstellung von Arc auf lokalen Systemen verantwortlich war. Ich wusste nicht viel über den Service, also begann ich, Recherchen anzustellen, um herauszufinden, was wir mit den wiederhergestellten Anmeldedaten machen könnten. Am Ende konnten wir Techniken verwenden, die in früheren Recherchen zu diesem Thema dokumentiert wurden, um Code auf einem Domaincontroller auszuführen und zurück nach Microsoft Azure zu schwenken, aber das brachte mich dazu, über einige allgemeinere Fragen im Zusammenhang mit Arc nachzudenken: Wie identifiziert man es in Umgebungen? Welche (Fehl-)Konfigurationen könnten existieren, die eine Eskalation ermöglichen würden? Welche anderen Codeausführungsvektoren existieren darin? Könnte es als Persistenzmechanismus außerhalb des Datenbandes verwendet werden?
Was ist Azure Arc? Auf hoher Ebene erweitert es die Azure-nativen Verwaltungsfunktionen auf eine Vielzahl von Nicht-Azure-Ressourcen wie lokale Systeme, Kubernetes-Cluster und VCenter-Bereitstellungen, sodass diese Systeme über Azure Resource Manager auf die gleiche Weise verwaltet werden können wie ein Azure-nativer Host. Sobald der Arc-Agent auf einem Host bereitgestellt ist, registriert er die zugrunde liegende Ressource in Azure und stellt eine Reihe von Verwaltungsfunktionen bereit: Überwachung, Durchsetzung von Richtlinien, Aktualisierungsverwaltung usw. Am interessantesten fand ich jedoch die Möglichkeit, damit Dateien aus der Ferne herunterzuladen und Befehle aus einem vertrauenswürdigen Prozess im Kontext von NT_AUTHORITY\SYSTEM auszuführen. Obwohl sich einige Funktionen von Arc mit denen von Intune überschneiden, wurde Arc speziell für die Verwaltung von Infrastruktur und Servern entwickelt, nicht für Endgeräte oder mobile Geräte.
Arc ist nicht ganz neu (es wurde ursprünglich 2019 veröffentlicht), und andere frühere Untersuchungen haben aufgezeigt, wie es zur Ausführung von Code und zur Persistenz in Umgebungen verwendet werden kann. Darüber hinaus gibt es erhebliche Überschneidungen zwischen bestehenden Untersuchungen zu Angriffen auf Azure Virtual Machines (VMs) und Arc, da mit Arc konfigurierte lokale Systeme in Azure ähnlich wie eine Azure-native VM verwaltet werden können. Mit diesem Blog möchte ich etwas mehr Kontext liefern, indem ich mich auf Bereiche konzentriere, die in der bisherigen Forschung nicht so gründlich erforscht wurden. Außerdem möchte ich die offensive Nutzung der Plattform innerhalb eines typischen Red-Teaming-Workflows erläutern und begleitende defensive Hinweise für Azure Arc-Bereitstellungen geben.
Bevor ich mich mit den Details des Angriffs auf Arc auseinandersetze, habe ich es in einem Test-Tenant eingerichtet, um ein besseres Verständnis dafür zu bekommen, wie der Dienst funktioniert und wie die Bereitstellung aussieht. Da Arc ein Azure-Dienst ist, benötigt man ein Abonnement und eine nachgelagerte Ressourcengruppe, um verwaltete Ressourcen anzuhängen. Der Zugriff wird anschließend auch über Azure-rollenbasierte Zugriffskontrollrollen (RBAC) verwaltet, die auf diesen Scopes zugewiesen sind. Wenn Sie dies in Ihrem eigenen Labor einrichten möchten, noch ein Hinweis: Sie müssen sich bei den folgenden Ressourcenanbietern in Ihrem Abonnement unter Abonnements -> (Ihr Abonnement) -> Einstellungen -> Ressourcenanbieter registrieren:
Sobald diese Voraussetzungen erfüllt sind, kann ein Konto mit den entsprechenden Rollen, die dem mit Arc verbundenen Abonnement zugewiesen sind, verwendet werden, um auf den Dienst zuzugreifen. Dort wird Ihnen ein allgemeines Verwaltungsfenster angezeigt.
Da wir Arc noch nirgendwo bereitgestellt haben, springen wir sofort zur Oberfläche Add Resources. Dieses Menü enthält Bereitstellungs- und Erkennungsoptionen für eine Vielzahl von Gerätetypen, aber am interessantesten ist die Maschinen-Funktionalität, mit der wir Windows- und Linux-Server verwalten können, die außerhalb des aktuellen Azure-Mandanten gehostet werden. Wenn Sie darauf klicken, werden verschiedene Bereitstellungsoptionen für eine Einzel- oder Mehrfachhostbereitstellung angezeigt.
Innerhalb dieser Schnittstelle eignen sich die Optionen Single Server und Windows Server mit Installationsprogramm eher für einmalige Bereitstellungen, während die Optionen AWS und Update Management eher auf cloudnative Geräte ausgerichtet sind, die bereits über Azure oder AWS verwaltet werden. In diesem Fall interessiert uns vor allem die Bereitstellungsoption Mehrere Server da dies wahrscheinlich der häufigste Weg ist, den ein IT-Administrator in einem hybriden Unternehmensszenario wählen würde.
Wenn Sie auf die Option mehrere Server klicken, fragt der Workflow als Nächstes eine Vielzahl grundlegender Fragen zum Abonnement, zu den Ressourcen und zur Region ab, an die Arc-verwaltete Geräte angeschlossen werden sollen. Bis zum Ende dieser Seite, wo wir einen Prompt für einen Service Principal erhalten, der für die Geräteregistrierung bei dieser Bereitstellung verwendet werden soll, ist alles ziemlich einfach. Der untenstehende Textblock besagt im Grunde nur, dass Sie einen Service Principal mit der Azure Connected Machine Onboarding-Rolle für eine Bereitstellung konfigurieren müssen, und gibt Ihnen außerdem die Möglichkeit, einen neuen Service Principal mit der entsprechenden Rolle zu erstellen.
In diesem Fall erstellen wir einen neuen Dienstprinzipal Test_Arc_SP für unsere Bereitstellung.
Diese Erstellungsschnittstelle fragt als Nächstes, welche Rollen wir unserem neuen Dienstprinzipal zuweisen möchten. Wir können jede der Optionen auswählen, einschließlich der interessant benannten Option Azure Connected Machine Resource Administrator, ohne weitere Kontextinformationen oder Warnungen zu den mit diesen Rollen verbundenen Berechtigungen.
Abschließend wird uns einer von vier unterstützten Mechanismen präsentiert, um Arc lokal bereitzustellen, wie im untenstehenden Bild zu sehen ist. Wir werden jeden dieser Punkte im Abschnitt Zugang zu Arc weiter unten etwas ausführlicher behandeln.
Sobald Arc über die gewählte Installationsvariante bereitgestellt wurde und wieder eine Verbindung zu Azure hergestellt hat, wird das neue Client-System unter Azure Arc -> Azure Arc-Ressourcen angezeigt.
Als ich über die offensive Nutzung von Arc nachdachte, stellte ich mir zunächst die Frage: „Welche Erkundungen kann ich in einer hybriden Unternehmensumgebung durchführen, um festzustellen, ob Arc verwendet wird?“ Diese Indikatoren lassen sich im Wesentlichen in zwei Kategorien unterteilen – Azure und lokal.
Der Zugang zu Arc erfolgt über Azure RBAC, was bedeutet, dass der Zugriff auf den Dienst und sogar grundlegende Einblicke in dessen Nutzung weitgehend außerhalb des Zuständigkeitsbereichs von Objekten liegen, denen in einem Abonnement einer Arc-Bereitstellung keine Rollen zugewiesen sind. Dennoch gibt es einige indirekte Methoden, mit denen wir feststellen können, ob Arc verwendet wird und sogar auf welchen Systemen es wahrscheinlich installiert ist, die von einem unprivilegierten Entra-Benutzer identifiziert werden können. Beim Durchgehen der Schritte des oben beschriebenen Bereitstellungsprozesses gibt es mehrere Punkte, an denen Objekte in Microsoft Entra hinzugefügt oder geändert werden. Anhand dieser Punkte lässt sich feststellen, ob Arc in einem Mandanten verwendet wird.
Zunächst werden bei der Konfiguration eines Abonnements in einem Azure-Mandanten mit den für Arc erforderlichen Ressourcenanbietern (z. B. Microsoft.HybridCompute) zwei Service Principals mit den Titeln Arc Token Service und Arc Public Cloud – Servers erstellt. Das bedeutet nicht zwangsläufig, dass Arc tatsächlich innerhalb eines Unternehmens bereitgestellt wurde, sondern dass mindestens ein Abonnement in einem Mandanten so konfiguriert wurde, dass der Dienst unterstützt wird. Ein Beispiel hierfür ist weiter unten in einem neuen Azure-Tenant zu sehen, vor und nach der Konfiguration der für Arc erforderlichen Ressourcenanbieter.
Im weiteren Verlauf des Bereitstellungsprozesses wird ein Service Principal verwendet, um Geräte mit Arc zu verbinden, wie im Bereitstellungsprozess im vorherigen Abschnitt beschrieben. Dabei kann es sich entweder um einen bereits bestehenden Service Principal handeln, dem manuell die erforderlichen RBAC-Rollen zugewiesen wurden, oder um einen automatisch generierten Service Principal, der über die Arc-Bereitstellung erstellt wurde. Wenn ein Administrator einen Service Principal direkt über Arc erstellt, wird dieser automatisch mit dem AzureArcSPN-Tag von Azure konfiguriert, der von einem unprivilegierten Entra-Benutzer entweder direkt über die Azure-Befehlszeile oder innerhalb von Ergebnissen von ROADrecon und AzureHound durchsucht werden kann. Auch wenn dies keine konkreten Beweise dafür liefert, dass Arc tatsächlich bereitgestellt wurde, würde ein auf diese Weise konfigurierter Service Principal zeigen, dass ein Administrator in diesem Mandanten zumindest mit den Schritten des Arc-Bereitstellungsprozesses interagiert hat. Ein Beispiel für die Erstellung eines Service Principals durch Arc sowie die daraus resultierenden identifizierbaren Tag-Daten, die von ROADrecon gesammelt wurden, sind weiter unten zu sehen.
Wenn ein System in Arc eingebunden wird, wird in Entra eine Managed Identity für den Rechner erstellt, die wie jeder andere Service Principal sowohl in Entra als auch in Azure mit Rollen ausgestattet werden kann. Da diese verwaltete Identität standardmäßig in Entra vorhanden ist, kann ein nicht privilegierter Principal die in Arc eingebundenen Systeme aufzählen, indem er die gesammelten Azure-Recognition-Daten filtert und nach Geräten mit einer ResourceID sucht, die Microsoft.HybridCompute enthält (beachten Sie, dass dies etwas anderes ist als ein hybrid-joined Gerät in Entra und keine Fehlalarme auslösen sollte). Wenn Sie Zugriff auf die Azure-Befehlszeile haben, ist dieser Vorgang mit folgendem Befehl recht einfach:
Diese lange ResourceID-Zeichenfolge hat auch den zusätzlichen Vorteil, dass sie die Abonnement-ID und die Ressourcengruppe enthält, mit der das System verknüpft ist, wodurch mehrere Arc-Bereitstellungen in verschiedenen Umgebungen identifiziert werden können.
Alternativ können Sie, falls Sie Azure-Daten über ROADrecon oder AzureHound erfasst haben, diese Ergebnisse analysieren, um von Arc verwaltete Objekte zu identifizieren. In ROADrecon werden die relevanten Informationen in der ResourceID gespeichert, während in AzureHound JSON-Sammeldateien dieselben Informationen im Attribut AlternativeNames gespeichert werden. Obwohl dieses Attribut anscheinend nicht in BloodHound kopiert wird oder anderweitig nicht direkt zugänglich ist, ermöglicht die direkte Suche in der JSON-Datei die Wiederherstellung einer vollständigen Liste der verwalteten Objekte.
Lokale Indikatoren für die Arc-Bereitstellung fallen in eine von zwei Kategorien: Localhost und Netzwerk. Wenn der Arc-Client auf einem System installiert ist, erstellt er den Ordner C:\Program Files\AzureConnectedMachineAgent, der alle relevanten Dateien enthält, die mit dem Arc-Client zusammenhängen. Die Präsenz dieses Ordners sowie Arc-bezogener Prozesse und Dienste (z. B. gc_arc_service.exe oder arcproxy.exe), kann einige einfache Dinge zur Überprüfung bereitstellen. Je nachdem, welcher Bereitstellungsmechanismus verwendet wird, um den Arc-Client auf die Systeme im Netzwerk zu verteilen, gibt es möglicherweise noch einige weitere Dinge, nach denen gesucht werden kann. Wenn beispielsweise Arc über GPO bereitgestellt wird, erstellt der Einrichtungsprozess ein automatisch generiertes GPO namens [MSFT] Azure Arc Server Onboarding(DateTimeOfGPOCreation).
Wenn wir also festgestellt haben, dass Arc in einer Umgebung verwendet wird, wie bekommen wir Zugang dazu? Um diese Frage zu beantworten, ist es wichtig, zunächst zu verstehen, was genau den Zugang ausmacht, an dem wir interessiert wären. Da das Hauptziel des Zugangs in der Regel darin besteht, Code auf einem verwalteten Endgerät auszuführen, kann die Rückwärtsarbeit von den Berechtigungen, die die Codeausführung ermöglichen, zu den Azure-Rollen, die diese Berechtigungen gewähren, einen guten Ausgangspunkt für Konten und Rollen bieten, an denen wir interessiert sein könnten. Ein Blick auf frühere Untersuchungen von Benedikt Strobl bei NSIDE Attack Logic zeigt, dass wir eine PowerShell-Abfrage ausführen können, die alle Rollen ermittelt, die Berechtigungen gewähren, welche mindestens einen Mechanismus zur Codeausführung über Arc ermöglichen (mehr zu den Einzelheiten dieser Mechanismen im nächsten Abschnitt). Die Abfrage und die resultierende Ausgabe sind unten zu sehen:
Abgesehen von einigen wenigen auffälligen Rollen, wie beispielsweise „Log Analytics Contributor”, ist eine der interessantesten die Rolle Azure Connected Machine Resource Administrator. Wenn Sie sich an den vorherigen Abschnitt zum Azure Arc-Bereitstellungsprozess erinnern, war dies eine der Rollen, die dem während des Arc-Bereitstellungsprozesses erstellten Dienstprinzipal zugewiesen werden konnte.
Dadurch wird der Bereitstellungs-Serviceprinzipal, dessen Geheimnis zwangsläufig im lokalen Netzwerk zugänglich ist, im Wesentlichen nur noch ein Häkchen (ein Häkchen ohne Warnung oder zusätzlichen Kontext zum Risiko) davon entfernt, innerhalb von Arc als Administrator zu fungieren. Ein Serviceprinzipal mit dieser bei der Erstellung versehentlich zugewiesenen administrativen Rolle konnte nicht nur neue Arc-Clients in Azure registrieren, sondern auch Befehle auf jedem installierten Arc-Client ausführen. Es war dieses verständliche Versäumnis, das wir bei unserer jüngsten Bewertung entdeckt und ausgenutzt haben, wodurch wir unsere Berechtigungen über Arc erweitern und die lokale Umgebung des Kunden übernehmen konnten.
Dieser Bereitstellungs-Serviceprinzipal scheint ein ziemlich gutes erstes Ziel zu sein, insbesondere wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um Listen anderer Konten mit den anderen genannten Rollen abzurufen, denen die Ausführung von Code zugewiesen ist. Aber wie würde ,am vorgehen, um Zugriff darauf zu erhalten? Erstens, und wahrscheinlich am direktesten: Wenn Sie innerhalb von Entra über einen Pfad Zugriff auf einen Serviceprinzipal haben, der mit Arc verbunden ist, indem Sie ihm ein Geheimnis hinzufügen (z. B. Eigentümer des Serviceprinzipal, Anwendungsadministrator usw.), könnten Sie das Objekt direkt ändern und es dann zur Authentifizierung verwenden, wodurch Sie möglicherweise privilegierten Zugriff auf Arc erhalten. Darüber hinaus können die von Arc verwendeten Bereitstellungsmechanismen auch falsch konfiguriert sein oder auf andere Weise eine Eskalation durch Wiederherstellung des Geheimnisses des Bereitstellungs-Serviceprinzipals ermöglichen. Als Nächstes sehen wir uns die vier wichtigsten von Arc unterstützten Bereitstellungsmechanismen für Unternehmen an, um potenzielle Eskalationspfade zu identifizieren, die überprüft werden müssen.
Die standardmäßige und einfachste Bereitstellungsmethode für Arc besteht darin, ein automatisch generiertes PowerShell-Skript herunterzuladen, das ein IT-Administrator auf mehreren Systemen ausführen kann. Dieses Skript ruft das entsprechende MSI-Installationsprogramm von der Microsoft-Website ab und führt anschließend die Folgekonfiguration durch, um den installierten Client mit dem richtigen Azure-Mandanten zu verbinden. Seltsamerweise besteht der unterstützte Standardauthentifizierungsmechanismus in diesem automatisch generierten Skript darin, das Geheimnis des Service Principals, das für die Bereitstellung im Skript verwendet wird, fest zu codieren.
Da dieser Bereitstellungsmechanismus so unkompliziert ist, gibt es nicht viel mehr zu beachten, als bei der normalen Überprüfung von Dateifreigaben nach PowerShell-Skripten mit dem Standardskriptnamen OnboardingScript.ps1 sowie nach Skripten mit Namen oder Inhalten Ausschau zu halten, die mit Arc in Verbindung stehen.
Die Auswahl des Configuration Managers für die Bereitstellung generiert ein PowerShell-Skript, das mit dem oben genannten identisch ist. Der Hauptunterschied besteht darin, dass Arc zusätzliche Anleitungen zur direkten Bereitstellung des Skripts über Microsofts System Center Configuration Manager (SCCM) bietet, entweder durch direkte Skriptausführung oder als Tasksequenz.
Obwohl dies die beiden empfohlenen Mechanismen für die Bereitstellung sind, kann ein IT-Administrator alternativ auch einen anderen Bereitstellungsmechanismus über SCCM verwenden, z. B. eine Paket- oder Anwendungsinstallation. Unabhängig von der verwendeten Bereitstellungsoption ist es wichtig, das Konzept der Sammlungen innerhalb von SCCM zu berücksichtigen, die als Zielbereich für die Bereitstellung von Aufgabenfolgen und (optional) Skripten dienen. Der Versuch, SCCM-Daten von einem zufälligen Host in der Umgebung wiederherzustellen, wird wahrscheinlich keine guten Ergebnisse liefern, da der Host in den meisten Fällen keine relevanten Informationen abrufen kann, wenn er nicht Mitglied der entsprechenden Sammlung ist. Stattdessen ist es wahrscheinlich sinnvoller, zunächst lateral zu einem Host zu wechseln, der als Arc-Client identifiziert wurde (oder noch besser zu einem SCCM-Verwaltungspunkt oder Datenbankserver), und dann eine SCCM-Recon durchzuführen.
Der SCCM Configuration Manager enthält Funktionen, mit denen Administratoren PowerShell-Skripte auf verwalteten Systemen ausführen können. Skripte werden nicht wie Aufgabensequenzen oder Pakete vom SCCM-Client abgerufen, sondern bei Bedarf vom Server an die Client-Systeme verteilt. Um das zu testen, können wir ein einfaches Skript im SCCM Configuration Manager mit dem automatisch generierten Arc-Bereitstellungsskript erstellen. Wir lassen das Geheimnis vorerst offen, da auf dem System Arc bereits installiert ist.
Wenn das Skript durch SCCM bereitgestellt wird, wird es in das Verzeichnis C:\Windows\CCM\ScriptStore auf dem Clientsystem kopiert und mit einer diskretionären Zugriffssteuerungsliste (DACL) konfiguriert, die den Zugriff auf NT_AUTHORITY\SYSTEM beschränkt, bevor es vom SCCM-Client ausgeführt wird. Die Dateien in diesem Ordner werden regelmäßig auf der Grundlage instanzspezifischer Konfigurationen bereinigt, aber es lohnt sich auf jeden Fall, nach diesem oder anderen Skripten zu suchen, die vertrauliche Daten enthalten könnten.
Alternativ können Sie, wenn Sie Zugriff auf die SCCM-Datenbank haben, alle in SCCM erstellten Skripte direkt mit dem ScriptData-Modul in SQLRecon wiederherstellen. Nachfolgend sehen Sie ein Beispiel für den Output, die bei der Ausführung dieses Moduls in der Standortdatenbank für eine SCCM-Instanz entsteht, die mit einem Skript zur bereitstellen von Arc konfiguriert wurde.
Realistisch gesehen ist eine Bereitstellung über ein SCCM-Skript in der Praxis eher unwahrscheinlich, da die Ausführung von SCCM-Skripten ein manueller, zeitpunktbezogener Prozess ist. Wenn neue Server online gehen und zu einem späteren Zeitpunkt zu Arc hinzugefügt werden müssen, muss ein Administrator daran denken, das Skript erneut auszuführen, um es auf die zusätzlichen Systeme anzuwenden.
Ein stärker automatisierterer und skalierbarer Bereitstellungsprozess wäre durch eine Aufgabenfolge, die auf eine SCCM-Sammlung angewendet wird. Um diesen Mechanismus zu testen, können wir eine einfache Aufgabenfolge erstellen, die das Arc-Bereitstellungsskript ausführt, und es auf eine SCCM-Sammlung anwenden, die ein System enthält, von dem aus wir arbeiten.
Nach der Bereitstellung dieses Skripts können wir den Befehl „get secrets“ in SharpSCCM ausführen, um zugängliche Aufgabenfolgen mit Skripten wiederherzustellen, da Richtlinien mit Skripten mit dem Secret-Flag versehen sind.
Die SourceScript-Eigenschaft innerhalb der entsprechenden Richtlinie enthält eine b64-Darstellung des ursprünglich übergebenen Skripts. Wenn wir es wieder in Klartext umwandeln, können wir das ursprüngliche Skript wiederherstellen.
Ähnlich wie bei der Wiederherstellung eines Skripts können wir, wenn wir Zugriff auf die SCCM-Datenbank haben, auch einfach direkt Aufgabensequenzdaten mit SQLRecon wiederherstellen.
Die Arc-Bereitstellung über Gruppenrichtlinien ist etwas komplizierter als die beiden vorherigen Mechanismen und besteht aus mehreren Schritten, die mit der Einrichtung einer Netzwerkfreigabe beginnen, auf die das Skript, ausgeführt über Gruppenrichtlinienobjekte (GPO), verweisen kann. Die offizielle Anleitung besagt, dass alle Domaincomputer Lese- und Schreibzugriff auf diese Freigabe haben sollten, was bedeutet, dass, wenn diese Bereitstellung verwendet wird, das Service Principal-Geheimnis aus jedem NT_AUTHORITY\SYSTEM Kontext in der Domain wiederhergestellt werden kann.
Nach der Einrichtung der Freigabe und dem Herunterladen und Kopieren der Arc-Client-MSI-Datei besteht der nächste Schritt darin, ein GitHub-Repository herunterzuladen, das PowerShell-Skripte und zugehörige DLLs enthält, die zur automatischen Erstellung des Gruppenrichtlinienobjekts (GPO) verwendet werden.
Schließlich wird ein PowerShell-Skript generiert, das die von GitHub heruntergeladenen Dateien aufruft, wobei die Argumente auf dem Speicherort der zuvor eingerichteten Arc-Bereitstellungsfreigabe basieren.
Das Ausführen dieses resultierenden PowerShell-Skripts führt dazu, dass eine GPO für eine geplante Aufgabe erstellt wird, die den Arc-Client mit den auf der Bereitstellungsnetzwerkfreigabe gehosteten Dateien installiert und mit Azure verbindet. Dieses GPO kann anschließend mit einer Organisatorischen Einheit (OU) verbunden werden, die Systeme enthält, auf denen Arc bereitgestellt werden kann.
Wenn während der Standard-Active Directory-Aufklärung eine GPO identifiziert wird, die dieser Namenskonvention entspricht, können GPO-Dateien überprüft werden, um den Standort der Netzwerkfreigabe mit den Bereitstellungsdateien zu bestimmen.
Bei Zugangsarten im Kontext von NT_AUTHORITY\SYSTEM kann diese Freigabe aus der Ferne durchsucht werden (sofern sie mit dem Standard- bzw. MS-empfohlenen Zugriff erstellt wurde), was wie folgt aussieht:
Von besonderem Interesse ist die äußerst auffällig benannte Datei encryptedServicePrincipalSecret. Ein Blick in das EnableAzureArc.ps1 Skript zeigt, dass es sich bei diesem Geheimnis um einen mit DPAPI-NG verschlüsselten Blob handelt.
DPAPI-NG (oder Cryptographic Next Generation [CNG] DPAPI) ermöglicht nicht nur benutzer- oder maschinenspezifische DPAPI-Verschlüsselungs- und Entschlüsselungsfunktionen, sondern auch Operationen, die auf der Mitgliedschaft eines Objekts basieren. In diesem Fall ist beispielsweise der DPAPI-NG-Blob innerhalb von encryptedServicePrincipalSecret so konfiguriert, dass jedes Mitglied der Domänencomputergruppe ihn entschlüsseln kann. Ich habe als Proof of Concept ein super einfaches PowerShell-Skript zusammengestellt, aber es sollte recht einfach sein, den Code aus AzureArcDeployment.psm1 (das selbst nur eine Hülle um .NET-Code ist) in eine Assembly zu übersetzen, die im Speicher auf einem Beacon im Kontext von NT_AUTHORITY\SYSTEM ausgeführt werden kann, um das Geheimnis wiederherzustellen und zu entschlüsseln.
Schließlich finden Sie alle weiteren relevanten Verbindungsinformationen, wie z. B. die Service Principal ID, die Subscription ID usw., in der Datei „ArcInfo.json“, die sich ebenfalls in derselben Bereitstellungsfreigabe befindet.
Die letzte offizielle Bereitstellungsoption generiert ein Ansible-Playbook, das den oben beschriebenen PowerShell-Skripten sehr ähnlich ist. Die Einzelheiten eines Angriffs auf Ansible variieren je nach Konfiguration und Umgebung erheblich, weshalb wir nicht weiter auf diesen Bereitstellungsmechanismus eingehen werden.
Arc unterstützt zwar die Verwaltung von Linux-Hosts, die direkt in der Arc-Blade in Azure verfügbaren Bereitstellungsmethoden sind jedoch stark auf Windows-basierte Geräte ausgerichtet. Linux-Bereitstellungen werden durch die Verwendung eines Bash-Skripts unterstützt, aber ähnlich wie bei Ansible-Bereitstellungen werden sie wahrscheinlich einen viel höheren Variationsgrad aufweisen, wenn sie in einer Unternehmensumgebung angewendet werden.
Gehen wir davon aus, dass wir das Geheimnis eines Service Principals erfolgreich wiederhergestellt haben und dass dieser Service Principal (oder ein anderes wiederhergestelltes Konto) über Ausführungsrechte in Arc verfügt. Da der gesamte Zweck von Arc darin besteht, lokale Geräte der Azure-Kontrollebene zugänglich zu machen, kommen verschiedene Codeausführungsprimitive, die typischerweise mit Azure-VMs verbunden sind, in den Zuständigkeitsbereich, um Zugriff auf lokale Hosts zu erhalten, auf denen der Arc-Client installiert ist. Wenn man sich jedoch auf Ausführungswege konzentriert, die nur die oben genannten Arc-spezifischen Berechtigungen erfordern, entstehen zwei breite Kategorien von Ausführungsaktionen – Ausführungsbefehle und Erweiterungen/Änderungen. Beide Ausführungsvektoren funktionieren ziemlich identisch mit einer äquivalenten Ausführung mit einer Azure-VM und wurden von anderen in früheren Blogs/Tools ausführlich dokumentiert, sodass wir nicht zu tief ins Detail gehen wollen, was die betriebliche Nutzung und einige nützliche Eigenheiten betrifft, die nicht so umfassend dokumentiert sind.
Der Ausführungsbefehl ist eine Art Pseudo-Erweiterung, die viele der Festplattenmerkmale und Ausführungsbaum-Details mit anderen Erweiterungen teilt, aber automatisch zusammen mit Arc installiert wird und in der installierten Erweiterungsliste eines verwalteten Systems nicht erscheint. Diese Funktion ermöglicht es, Befehle auf einem über Arc verwalteten Client auf einfache Weise auszuführen, wobei die Hauptvoraussetzung darin besteht, dass die Clientversion >= 1.33 sein muss. Sie können dies mit dem Befehl az connectedmachine show verifizieren, wie unten gezeigt.
Es ist zu beachten, dass für den Versuch, einen Befehl über die az-Befehlszeile (CLI) auszuführen, nicht nur die zuvor genannten Schreibberechtigungen erforderlich sind, sondern auch Leserechte für die Ressourcengruppe, über die ein automatisch generierter Dienstprinzipal standardmäßig nicht verfügt. Daher führt der Versuch, einen Befehl direkt über die az CLI auszuführen, zu einem Fehler.
Das kann umgangen werden, indem direkt mit der Azure REST-API interagiert wird, allerdings ist es dann nicht möglich, die Ausgabe der ausgeführten Befehle abzurufen. In diesem Beispiel erstellen wir einen Ausführungsauftrag namens run-notepad, der lediglich die Datei notepad.exe auf dem Client-System startet.
Der übergebene Befehl wird in ein PowerShell-Skript im Ordner C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[Version]\Downloads geschrieben, wobei der Name dem Namen des in Arc erstellten und schließlich im Kontext von NT_AUTHORITY\SYSTEM ausgeführten Auftrags entspricht.
Dieses PowerShell-Skript wird nach Abschluss der Ausführung nicht automatisch gelöscht. Allerdings führt jede weitere Ausführung eines Ausführungsauftrags mit demselben Namen dazu, dass das ursprüngliche Skript gelöscht und ein neues mit einem fortlaufenden Suffix erstellt wird, wie unten dargestellt.
Zusätzlich zu diesem Skript werden bei jeder Ausführung eines Befehls mehrere weitere Dateien auf der Festplatte erstellt. Diese werden im Abschnitt Defensive Guidance näher behandelt.
Beachten Sie außerdem, dass ein Ausführungsbefehl ein Objekt in Azure erstellt, das nach Abschluss der Ausführung gelöscht werden muss. Da diese Aktion nicht auf Ressourcengruppenebene gelesen wird, kann sie direkt über die az-CLI ausgeführt werden.
Arc-Clients können ihre Funktionen durch die Installation einer Vielzahl von von Microsoft zugelassenen Erweiterungen ergänzen lassen, ähnlich wie bei Azure-VMs. Die am häufigsten missbrauchte Erweiterung ist die Custom Script Extension (CSE) für Windows, die sowohl die Ausführung beliebiger Befehle als auch das Herunterladen von Dateien aus dem Internet ermöglicht. Andere Erweiterungen bieten jedoch unterschiedliche Ausführungsbäume an, die dazu beitragen können, eine statische Erkennung zu umgehen, die sich auf die Ausführung einer CSE konzentriert. Als Nächstes schauen wir uns sowohl die Ausführung über eine CSE als auch die Windows Admin Center-Erweiterung an.
Wenn die Ausführung im Kontext eines Service Principals erfolgt, der mit der Azure Connected Machine Resource Administrator Rolle in einem Abonnement mit Standardeinstellungen bereitgestellt ist, müssen Sie erneut Befehle über die REST-API von Azure senden. Bevor die Ausführung erfolgt, besteht ein Haken bei der erweiterungsbasierten Ausführung darin, dass zu jedem Zeitpunkt nur eine einzige Kopie einer Erweiterung auf einem Host bereitgestellt werden kann, was bedeutet, dass Sie ein Update durchführen müssen, wenn dem Zielhost bereits eine CSE hinzugefügt wurde, anstatt eine neue Erweiterung zu erstellen. Die Liste der derzeit installierten Erweiterungen auf einem Host kann aus der az CLI mit Folgendem abgerufen werden:
In diesem Fall sind auf diesem Host noch keine Erweiterungen installiert:
Beim Erstellen einer CSE sind eine Reihe von Argumenten erforderlich, von denen das wichtigste das Argument protectedSettings ist, da es ein optionales Attribut commandToExecute enthält. Passenderweise werden in diesem Attribut die Argumente für die Befehlsausführung abgelegt. Ein Beispiel für einen az-CLI-Befehl, der über die REST-API ausgeführt werden kann, um eine CSE zu erstellen, die Notepad startet, ist unten zu sehen:
Die erneute Ausführung hat die folgenden Ergebnisse im Kontext von NT_AUTHORITY\SYSTEM.
Sobald ein CSE erstellt wurde, können Sie seinen aktuellen Status auch über die REST-API mit einem Befehl in folgendem Format überprüfen:
Durch die Ausführung dieses Befehls können wir sehen, dass die CSE-Bereitstellung in einem ausführenden Zustand bleibt, bis der von ihr gestartete Prozess auf dem Client-System beendet wird.
Es ist wichtig, dieses Verhalten im Hinterkopf zu behalten, da Erweiterungen nicht zwanghaft gestoppt werden können, selbst wenn man versucht, das CSE zu löschen. Das bedeutet: Wenn Sie eine CSE starten, die einen langlaufenden Prozess erzeugt, der Ihnen keinen Zugriff auf das System gewährt, und Sie keinen anderen Mechanismus (wie z. B. Ausführungsbefehle) haben, mit dem Sie den Prozess beenden können, könnten Sie sich möglicherweise von weiteren CSE-Ausführungen ausschließen, bis das System neu gestartet wird. Wenn Sie außerdem einen CSE als Mechanismus zum Bereitstellen eines C2-Beacons verwenden, empfiehlt es sich, aus dem ursprünglichen Prozess auszusteigen, damit Sie das CSE-Objekt bereinigen können.
Nehmen wir an, wir möchten mit unserer CSE-Ausführung etwas mehr tun, als nur Notepad auszuführen. Es gibt mehrere Möglichkeiten, unsere aktuelle CSE zu aktualisieren. Wir können entweder direkt aktualisieren oder die CSE-Erweiterung entfernen und neu bereitstellen. Die direkte Aktualisierung ist einfacher, setzt aber voraus, dass die vorherige CSE-Ausführung vor der Ausführung in einem bestimmten Zustand abgeschlossen ist (z. B. erfolgreich, fehlgeschlagen). Um ein bereits existierendes CSE zu aktualisieren, können Sie einfach den ursprünglichen Befehl, den Sie an die REST-API übergeben haben, anpassen und erneut einreichen, indem Sie den Attributwert commandToExecute auf den aktualisierten Befehl ändern. Dies hat den zusätzlichen Nutzen, dass die CSE-Ordnerstruktur auf dem Client-System zwischen den Ausführungen erhalten bleibt.
Ich habe festgestellt, dass der CSE in manchen Fällen im Createing-Zustand stecken bleibt, selbst wenn der ausgeführte Prozess nicht mehr auf dem Client-System läuft. Ich habe herausgefunden, dass Sie diesen Zustand am besten erkennen, indem Sie die Erweiterungsliste des betroffenen Hosts überprüfen. Dort wird vorhersehbar angezeigt, dass sich der Host in einem provisioningState von Creating befindet, aber wenn ein Prozess tatsächlich noch über den Host ausgeführt wird, sehen Sie auch eine Statusmeldung, die anzeigt, dass die Ausführung noch läuft.
Wenn Sie feststellen, dass sich Ihr CSE in diesem Zustand „Erstellt, aber nicht tatsächlich ausgeführt“ befindet, ist es am besten, ihn vollständig zu löschen (wenn Sie sicher sind, dass der damit ausgeführte Prozess nicht mehr läuft). Dies kann mit dem folgenden Befehl erreicht werden:
Der Versuch, einen CSE zu löschen, während die zugrundeliegende ausführbare Datei noch läuft (z. B. ein HTTPS-Beacon als NT_AUTHORITY\SYSTEM, der wegen Proxy-Kontrollen nicht aussteigen kann), führt weder dazu, dass der Prozess beendet wird, noch löscht sich der CSE selbst. Stattdessen kann dies dazu führen, dass die CSE-Erweiterung auf unbestimmte Zeit im Status „Löschen“ hängen bleibt. Die einzige vollständige Behebung, die ich gefunden habe, besteht darin, das übergeordnete Hybrid Identity-Objekt aus Azure zu löschen, den Arc-Client vom verwalteten System zu deinstallieren und alles neu zu installieren. Es klingt beängstigend, aber als ich das erst einmal herausgefunden hatte, dauerte es nur etwa fünf Minuten, bis alles wieder lief.
Eine weitere Sache, die man beim Löschen von CSEs beachten sollte: Der Löschprozess entfernt den Ordner C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension von der Festplatte des Client-Systems und löscht alle Dateien, die Sie in dieser Struktur hochgeladen oder verändert haben. Darüber hinaus dauert die Verarbeitung des CSE-Löschbefehls in Azure drei bis fünf Minuten, was normal ist.
Eine der interessanten Aufgaben, die ein CSE zusätzlich zur Ausführung von Befehlen übernehmen kann, ist das Herunterladen von Dateien aus dem Internet. Ein Array von Dateien kann unter dem Argument „Settings“ im fileUris Attribut angegeben werden, was den Download von Dateien in den Ordner C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator] ermöglicht. Diese Ordnerstruktur bleibt so lange bestehen, bis die CSE-Erweiterung in Azure gelöscht wird. Dann werden alle mit der CSE-Erweiterung verbundenen Datenträgerdaten gelöscht. Das bedeutet, dass Sie ein Skript erstellen könnten, das Dateien aus diesem Ordner an einen anderen Ort auf der Festplatte kopiert. Dadurch entsteht ein Mechanismus zum Schmuggeln von Dateien, der nicht auf eine herkömmliche Web-Download-Plattform angewiesen ist. Da diese Dateien erhalten bleiben, sobald sie aus dem Standardverzeichnis verschoben wurden, könnten sie kopiert und dann mit einem anschließenden CSE von einem anderen Ort auf der Festplatte ausgeführt werden, wodurch eine statische Erkennung, die auf der Identifizierung von Ausführungen aus dem zuvor genannten CSE-Download-Ordner angewiesen ist, unterbrochen wird.
Bei der Erstellung komplexerer Logik wie dieser, die möglicherweise nicht erfolgreich ist, ist es außerdem hilfreich, eine Ausgabe abrufen zu können, die angibt, ob die Ausführung erfolgreich war oder nicht. Wir sind zwar nicht in der Lage, die Ausgabe von CSE-Ausführungen direkt wiederherzustellen, aber es werden Exit-Codes zurückgegeben, was bedeutet, dass wir eine bedingte Verzweigung in unseren Code aufnehmen können, die mit einem bestimmten Code basierend auf dem aktuellen Status des Programms beendet wird (z. B. erfolgreiche Dateikopie) . Wenn wir diese Puzzleteile zusammensetzen, können wir eine stark konstruierte Demo inszenieren, die Folgendes leistet:
Ein einfaches PowerShell-Skript, das diese Aufgaben erfüllt, würde etwa so aussehen:
Wenn wir dies mit allen erforderlichen Escapes formatieren, damit dieses Skript über die az REST API in einem JSON-Blob übergeben werden kann, erhalten wir einen Befehl, der wie folgt aussieht:
Wir führen das oben Genannte aus und können nach einer Minute Wartezeit, bis die Ausführung abgeschlossen ist, den Status mit dem Befehl az connectedmachine extension list überprüfen. Die Ausführung dieses Befehls zeigt, dass wir den Exit-Code 10 zurückerhalten haben, was auf eine erfolgreiche Ausführung hinweist. Die Fehlermeldung ist eine allgemeine Meldung, die auf einen Return-Code ungleich Null hinweist, was für uns jedoch nicht von Bedeutung ist.
Durch Überprüfung des Remote-Systems können wir auch verifizieren, ob die Dateien erfolgreich kopiert wurden.
Wie wir sehen, wird dieser Code ziemlich schnell kompliziert. Um den Vorgang weiter zu vereinfachen, wäre es auch möglich, ein PowerShell-Skript herunterzuladen, indem man es dem fileUris Array hinzufügt und es dann über das commandToExecute Attribut aufruft.
Bevor wir fortfahren, möchte ich Ihnen noch einen letzten Tipp geben, wie Sie die Tarnung dieser Technik verbessern können, indem Sie ihren Ausführungsfingerabdruck ändern. Wenn Sie sich an unseren anfänglichen Prozessstart über CSE erinnern, erschien cmd.exe oben im Ausführungsbaum, ohne dass ein übergeordneter Prozess erkennbar war.
Ein Blick auf diesen obersten cmd.exe Prozess zeigt eine nicht existierende übergeordnete Process ID (PID) von 5068.
Wir können mit Process Monitor noch etwas weiter eintauchen, das zeigt, dass unsere mysteriöse Parent Process ID (PPID) von 5068 eine weitere Instanz von cmd.exe war, die unseren aktuellen Prozessbaum über einen cmd-/c-Aufruf erstellt hat. Dieser mysteriöse cmd-Prozess wurde selbst von gc_extension_service.exe in PID 3588 durch die Ausführung des enable.cmd-Skripts gestartet.
Warum ist das alles wichtig? Derzeit haben wir einen ziemlich statischen Ausführungsbaum von gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [was auch immer über CSE ausgeführt wird]. Wenn wir uns weiter oben in diese Kette einklinken könnten, könnten wir Erkennungen umgehen, die sich auf verdächtige Ausführungen konzentrieren, die aus dieser bekannten Prozessbaumstruktur stammen. Da es sich bei dieser .cmd-Datei lediglich um ein nicht signiertes Skript handelt, das von NT_AUTHORITY\SYSTEM aus einem bekannten Speicherort als Ergebnis eines von uns kontrollierten Ereignisses (Erstellen oder Ändern einer CSE) ausgeführt wird, wäre es möglich, dieses Skript so zu ändern, dass der Standardausführungsfluss umgeleitet wird, um einen Prozess unserer Wahl direkt aufzurufen. Angenommen, unser einziger Ausführungsvektor auf dem Host ist über Arc, stellt sich jedoch ein gewisses Henne-Ei-Problem, da wir zur Änderung dieser Datei über einen bekannten Prozessbaum ausführen müssten. Die Durchführung von Textänderungen an einer nicht signierten Datei ist jedoch im Vergleich zu anderen typischen Post-Exploitation-Maßnahmen wesentlich schwerer zu erkennen. Ich werde nicht näher auf diese Änderung (oder ähnliche Änderungen, die an anderen Erweiterungen vorgenommen werden könnten) eingehen, sondern nur eine Idee für etwas Nützliches vorstellen, das Sie tun könnten.
Bis zu diesem Punkt haben wir uns auf Angriffe konzentriert, die mit der nicht-interaktiven REST-API aus der Sicht eines überprovisionierten Service Principals mit der Azure Connected Machine Resource Administrator Rolle möglich sind. Wenn wir jedoch über ein Konto mit Zugriff auf eine grafische Benutzeroberfläche (GUI) verfügen, erweitert sich der Umfang der Möglichkeiten erheblich. Es gibt eine Vielzahl von Erweiterungen, die an verwaltete Clients weitergeleitet werden können und neue Wege zur Codeausführung eröffnen, aber als ich mich in Arc umgeschaut habe, empfand ich das Windows Admin Center (WAC) als besonders interessant. Arc kann die Backend-Verwaltungskomponente des Windows Admin Centers – ein eigenständiges Fernverwaltungstool von Microsoft – über eine Arc-Erweiterung bereitstellen. Meines Wissens ist es nicht möglich, über die Azure REST API direkt mit dieser Erweiterung zu interagieren. Sobald die Erweiterung jedoch auf einem Client bereitgestellt wird, stehen über die grafische Benutzeroberfläche verschiedene Systemverwaltungsoptionen zur Verfügung.
Sobald die WAC (lol) Erweiterung auf einem von Arc verwalteten System installiert ist, kann sie direkt über das Arc-Portal aufgerufen werden, indem man sich in das verwaltete Gerät einloggt, vorausgesetzt, man hat die entsprechende Rolle zugewiesen bekommen (oder kann sie sich selbst zuweisen).
Mit der entsprechenden Konfiguration können Sie sich mit der Verwaltungsoberfläche verbinden und Code über verschiedene Mechanismen ausführen, darunter Prozesserstellung, geplante Aufgabenerstellung/-änderung, Service-Modifikation und Registry-Modifikation. Ich möchte nicht auf die Einzelheiten der einzelnen Punkte eingehen, sondern die Prozesserstellung anhand eines Beispiels kurz erörtern, um einige der Eigenheiten der Ausführung über WAC aufzuzeigen.
Die Prozesserstellung ist wahrscheinlich der unkomplizierteste Weg, Code über WAC auszuführen: Man gibt einfach einen Prozess ein, um zu starten (mit optionalen Argumenten), und klickt auf Start.
Interessanterweise läuft dies im Kontext eines virtuellen Kontos (WAC_[Ihr Azure-Benutzername]), jedoch in einem Hochintegritätskontext mit vollen Token-Rechten, wie man sieht, wenn man ein whoami /priv an eine Textdatei auf der Festplatte ausgibt.
Der Prozess selbst entsteht als Unterordnung von WmiPrvSe.exe, ein bekannter Prozessbaum für diejenigen, die mit der Lateralbewegung über Process.Create vertraut sind. Wenn ein Befehl auf diese Weise ausgeführt wird, wird für das virtuelle Konto ein Benutzerordner auf der Festplatte erstellt, der noch mehr IOCs hinterlässt, die bereinigt werden müssen. Die Bedienung ist aber wirklich einfach!
Zusätzlich zu diesen Codeausführungsvektoren gibt es verschiedene andere Verwaltungsfunktionen wie die grafische Datei- und Dateifreigabe-Durchsuchung, eine unverzichtbare Funktion für Ihr eigenes C2 der Unternehmensklasse.
WAC verfügt außerdem über ein VM-Kontrollpanel, das die Installation von Hyper-V auf dem verwalteten System sowie die Bereitstellung und Verwaltung von VMs ermöglicht.
Diese Funktion sah zunächst sehr vielversprechend aus, aber ich stieß schon bei dem Versuch auf Probleme, herauszufinden, wie man eine ISO-Datei auf dem Host bereitstellt. Der Dateibrowser in WAC verfügt über eine integrierte Upload-Funktion, hat aber leider eine recht niedrige Obergrenze für die Upload-Größe. Das bedeutete, dass ein Fallback-Mechanismus implementiert werden musste, um eine geeignete ISO auf dem System zu erhalten und eine VM zu erstellen. Anschließend wurden Probleme festgestellt, die sich wahrscheinlich auch in einer Unternehmensumgebung im Zusammenhang mit verschachtelter Virtualisierung zeigen würden. Da viele Systeme in einer Unternehmensumgebung normalerweise virtualisiert sind, müsste Intel VT-x / AMD-V auf dem System aktiviert werden, um eine verschachtelte Virtualisierung zu ermöglichen.
Schließlich mangelt es mit all diesen verfügbaren Management-Funktionen nicht an interessanten Angriffen, die man durch Dateiaustausch oder -modifikation durchführen könnte, um Dinge von Arc oder WAC im Hintergrund zu kapern und mögliche Aktionen nach der Ausbeutung weiter zu verschleiern. Denken Sie daran, dass dies nur eine von vielen verfügbaren Erweiterungen ist, die Sie auf von Arc verwalteten Clients bereitstellen können. Zweifellos gibt es ähnliche Vektoren für die Ausführung von Code in anderen Programmen, die möglicherweise weitere Funktionen bieten.
Beachten Sie, dass WAC seine eigenen eigenständigen Installationen durchführt und somit den Speicherbedarf und die Bereinigungsanforderungen im Zusammenhang mit einer Kompromittierung erheblich vergrößert. Zusätzlich führen Aktionen, die im Kontext eines WAC_ Kontos ausgeführt werden, zu zusätzlichen Aktionen auf der Festplatte wie der Erstellung eines Benutzerordners, obwohl kein lokales Benutzerprofil für das Konto erstellt wird. Dies ist zwar ein interessanter Ansatz, der eine Reihe von Möglichkeiten zur Codeausführung eröffnet, aber auf einem geschäftskritischen Server würde ich darauf verzichten.
Angenommen, Sie haben ein Serviceprinzipal-Geheimnis wiederhergestellt, das jedoch ordnungsgemäß so bereitgestellt wurde, dass nur die Einbindung von Systemen zulässig ist. Es kann dennoch sinnvoll sein, die Einbindung eines von Ihnen kontrollierten Systems zu versuchen, um zu überprüfen, ob automatisierte Installationen oder Konfigurationen mit zusätzlichen Anmeldedaten an Ihr System weitergeleitet werden.
Dies ist ein Thema, das ich bis zu Andy Gills kürzlich erschienenem Blog über die Verwendung von Arc als C2-Mechanismus noch nicht oft gesehen hatte. Arc ist deshalb großartig, weil es ein legitimes Microsoft-Produkt ist und direkt mit bekannten API-Endgeräten innerhalb von Azure kommuniziert, was bedeutet, dass es von Endpoint Detection and Response (EDR) Produkten normalerweise übersehen wird. Ich würde zwar nicht empfehlen, über Arc zu arbeiten, aber es dient als interessanter Out-of-band-Mechanismus für die Fallback-Persistenz innerhalb einer Umgebung. Auch wenn ein Host hybrid in eine Entra-Umgebung eingebunden ist, besteht keine Voraussetzung, dass er eine Verbindung zu einer Arc-Instanz herstellt, die im selben Mandanten gehostet wird. Das bedeutet eigentlich, dass Sie, wenn Sie einen hochintegren Kontext auf einem Host haben, der noch nicht über Arc verwaltet wird, Ihren eigenen Arc-Client bereitstellen und ihn über Ihren eigenen Azure-Mandanten verwalten können.
Da Andys Blog die allgemeine Nutzung von Arc für die Persistenz sehr gut detailliert darstellt, möchte ich nur einen kleinen Punkt zur Operationalisierung hinzufügen, wenn GUI-basierter Zugriff nicht möglich ist (wie es meist bei einem C2-Agenten der Fall wäre). Bei der Überprüfung der Bereitstellungsskripte besteht der Installationsprozess des Arc-Clients im Wesentlichen aus zwei Teilen: der Installation des eigentlichen Clients über ein MSI-Installationsprogramm und der Verbindung des installierten Clients mit einem Azure-Mandanten über Befehlszeilenargumente, die an den Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe) übergeben werden. Beide Schritte in diesem Prozess können entweder lokal oder aus der Ferne (unter Verwendung der von Ihnen bevorzugten Lateralbewegung Avenue) von einem nicht-interaktiven Befehlszeilenkontext aus ausgeführt werden. Verwenden Sie etwa die folgende Syntax:
1.
2.
Sobald die Verbindung hergestellt ist, wird das System im Arc-Blade Ihres Azure-Mandanten angezeigt, und Sie können die az-CLI, die az-REST-API oder die GUI verwenden, um Aktionen darauf auszuführen. Da der Arc-Client nun mit einem Mandanten verbunden ist, über den Sie die volle Kontrolle haben, stehen Ihnen auch eine Vielzahl von Optionen für die nachfolgende Codeausführung zur Verfügung, die über den in diesem Blog behandelten Umfang hinausgehen.
Ein weiterer Punkt zur Bereitstellung von Arc: Leider können Sie keine Verbindung über eine andere Arc-Konfiguration herstellen, ohne zuvor die bestehende Arc-Verbindung zu trennen – ein Vorgang, für den die Rolle Azure Connected Machine Resource Administrator erforderlich ist. Dieses Problem könnte man wahrscheinlich umgehen, indem man den Arc-Client vollständig deinstalliert und anschließend neu installiert, aber das wäre nicht meine erste Wahl hinsichtlich Ausführung oder Persistenz. Das bedeutet konkret: Wenn auf einem System bereits Arc installiert ist, sollten Sie sich darauf konzentrieren, über die bestehende Verbindung darauf zuzugreifen, anstatt zu versuchen, eine Verbindung zu Ihrem eigenen Mandanten darauf einzurichten.
Hinweis: Diese Liste stellt keine vollständige Auflistung aller Forschungsarbeiten zum offensiven Einsatz von Arc dar, sondern enthält eine Auflistung von Artikeln und Vorträgen, die mir geholfen haben, ein Verständnis für die Plattform und die über sie verfügbaren Angriffsvektoren zu entwickeln.
