Mi investigación sobre Microsoft Azure comenzó durante una reciente operación del equipo rojo en la que nos encontramos con un script de PowerShell que contenía un secreto de la entidad de servicio codificado que era responsable de implementar Arc en los sistemas de las instalaciones. No sabía mucho sobre el servicio, así que comencé a investigar un poco para determinar qué podíamos hacer con las credenciales recuperadas. Terminamos siendo capaces de utilizar técnicas documentadas en investigaciones anteriores sobre este tema para obtener la ejecución de código en un controlador de dominio y volver a pivotar en Microsoft Azure, pero esto me hizo pensar en algunas cuestiones más amplias relacionadas con Arc: ¿Cómo se identifica en entornos? ¿Qué (malas) configuraciones podrían existir que permitieran la escalada? ¿Qué otros vectores de ejecución de código existen dentro de él? ¿Podría utilizarse como un mecanismo de persistencia fuera de banda?
Entonces, ¿qué es Azure Arc? A un alto nivel, amplía las capacidades de gestión nativas de Azure a una variedad de Recursos que no son de Azure, como sistemas en las instalaciones, clústeres de Kubernetes e implementaciones de VCenter, lo que permite que estos sistemas se gestionen a través de Resource Manager de la misma manera que lo haría un host nativo de Azure. Una vez que el agente de Arc se implementa en un host, registra el recurso subyacente en Azure y expone un conjunto de características de gestión: supervisión, aplicación de políticas, gestión de actualizaciones, etc. Sin embargo, lo que más me interesó fue la posibilidad de utilizarlo para descargar archivos de forma remota y ejecutar comandos desde un proceso de confianza en el contexto de NT_AUTHORITY\SYSTEM. Aunque parte de la funcionalidad de Arc se solapa con Intune, Arc está diseñado específicamente para gestionar infraestructuras y servidores, no para endpoints o dispositivos móviles.
Arc no es muy nuevo (se lanzó originalmente en 2019), y otras investigaciones anteriores han descrito cómo se puede utilizar para ejecutar código y persistir en entornos. Además, la investigación existente sobre el ataque a las máquinas virtuales (VM) de Azure se solapa significativamente con Arc, ya que los sistemas de las instalaciones configurados con Arc se pueden gestionar en Azure de forma muy similar a una máquina virtual nativa de Azure. Con este blog, espero proporcionar un poco más de contexto centrándome en áreas no exploradas tan a fondo en la investigación existente, así como describiendo el uso ofensivo de la plataforma dentro de un flujo de trabajo típico de red teaming y proporcionando orientación defensiva complementaria para las implementaciones de Azure Arc .
Antes de dedicarme a atacar Arc, lo configuré en un tenant de prueba para entender mejor cómo funciona el servicio y cómo es el proceso de implementación. Como Arc es un servicio de Azure, requiere una suscripción y un grupo de recursos en sentido descendente al que adjuntar los recursos gestionados; el acceso también se gestiona posteriormente a través de roles de control de acceso basado en roles (RBAC) de Azure asignados en estos ámbitos. Si desea configurar esto en su propio laboratorio, una nota adicional: deberá registrarse con los siguientes proveedores de recursos en su suscripción en Suscripciones -> (su suscripción) -> Configuración -> Proveedores de recursos:
Una vez cumplidos estos requisitos previos, se puede utilizar una cuenta con los roles adecuados asignados en la suscripción asociada a Arc para acceder al servicio, donde se encuentra con una ventana de gestión general.
Como aún no hemos implementado Arc en ninguna parte, saltaremos inmediatamente a la interfaz Añadir recursos. Este menú contiene opciones de implementación y descubrimiento para una variedad de tipos de dispositivos, pero el interés más inmediato es la funcionalidad de Máquina que nos permite administrar servidores de Windows y Linux alojados fuera del tenant actual de Azure. Al hacer clic aquí, se muestran varias opciones para una implementación de un solo host o varios.
Dentro de esta interfaz, las opciones Servidor único y Windows Server con instalador son más adecuadas para implementaciones puntuales, y las opciones AWS o Gestión de actualizaciones se centran más en dispositivos nativos de la nube ya gestionados a través de Azure o AWS. En este caso, la que más nos interesa es la opción de implementación de varios servidores, ya que probablemente sea la ruta más común que utilizaría un administrador de TI en un escenario de implementación empresarial híbrido.
Al hacer clic en la opción de varios servidores, el flujo de trabajo de implementación plantea a continuación una serie de preguntas básicas sobre la suscripción, el grupo de Recursos y la región a los que conectar los dispositivos gestionados por Arc. Todo es bastante sencillo hasta el final de esta página, donde se nos da la instrucción de usar una entidad de servicio para el registro del dispositivo durante esta implementación. El siguiente bloque de texto básicamente solo indica que necesita una entidad de servicio configurada con el rol de incorporación de máquinas conectadas de Azure para realizar una implementación, y también le da la opción de crear una nueva entidad de servicio con el rol apropiado asignado.
En este caso, crearemos una nueva entidad de servicio Test_Arc_SP para nuestra implementación.
Esta interfaz de creación pregunta a continuación qué roles asignamos a nuestra nueva entidad de servicio. Podemos seleccionar cualquiera de las opciones, incluido el curiosamente llamado Azure Connected Machine Resource Administrator, sin ningún contexto adicional ni advertencias sobre los privilegios que estos roles confieren.
Por último, se nos presenta uno de los cuatro mecanismos compatibles para implementar Arc en hosts en las instalaciones, como se puede ver en la imagen a continuación. Vamos a tratar cada uno de estos temas con un poco más de profundidad en la sección Obtener acceso a Arc que se encuentra más abajo.
Una vez que Arc se implemente a través del tipo de instalación elegido y se conecte de nuevo a Azure, el nuevo sistema cliente aparecerá en Azure Arc -> Recursos de Azure Arc.
Al pensar en el uso ofensivo de Arc, la primera pregunta que me hice fue: "Cuando entro en un entorno empresarial híbrido, ¿qué reconocimiento puedo realizar para determinar si Arc está en uso?" Estos indicadores se pueden dividir en gran medida en dos categorías: Azure y de las instalaciones.
El acceso a Arc se controla a través de Azure RBAC, lo que significa que el acceso al servicio e incluso la visibilidad básica de su uso están en gran medida fuera del alcance de los objetos no asignados a ningún rol en una suscripción asociada a una implementación de Arc. Dicho esto, todavía hay algunos métodos indirectos que pueden permitirnos determinar si Arc está en uso e incluso en qué sistemas es probable que esté instalado que puedan ser identificados por un usuario de Entra sin privilegios. Al seguir los pasos del proceso de implementación anterior, hay varios puntos en los que se agregan o modifican objetos dentro de Microsoft Entra que se pueden observar para determinar si Arc está en uso dentro de un tenant.
En primer lugar, cuando se configura una suscripción en un tenant Azure con los Recursos necesarios para Arc (por ejemplo, Microsoft.HybridCompute), se crearán dos entidades de servicio llamadas Servicio de token de Arc y Arc nube pública – Servidores. Esto no significa necesariamente que Arc se haya implementado dentro de una organización, sino que al menos una suscripción en un tenant se ha configurado de manera que el servicio sea compatible. Un ejemplo de esto se puede ver a continuación en un nuevo tenant de Azure, antes y después de configurar los proveedores de recursos necesarios para Arc.
Continuando con el proceso de implementación, se utiliza una entidad de servicio para unir los dispositivos a Arc, como se detalla en el proceso de implementación tratado en la sección anterior. Puede ser una entidad de servicio existente anteriormente a la que se le hayan asignado manualmente las funciones de RBAC necesarias, o una entidad de servicio generada automáticamente creada a través de la interfaz de implementación de Arc. Si un administrador creara una entidad de servicio directamente a través de Arc, Azure la configura automáticamente con la etiqueta AzureArcSPN, que un usuario de Entra sin privilegios puede buscar directamente desde la línea de comandos de Azure o desde los resultados de la recopilación de ROADrecon y AzureHound. Aunque no proporciona pruebas concretas de que Arc haya sido realmente implementado, una entidad de servicios configurada de esta manera mostraría que un administrador en este tenant ha interactuado al menos con los pasos del proceso de implementación de Arc. A continuación se muestra un ejemplo de creación de una entidad de servicio a través de Arc, así como los datos de etiquetas identificables resultantes recopilados por ROADrecon.
Por último, cuando un sistema se incorpora a Arc, se crea una identidad gestionada dentro de Entra para la máquina y se le pueden otorgar roles tanto en Entra como en Azure como cualquier otra entidad de servicio. Dado que esta identidad gestionada está presente en Entra, de forma predeterminada, una entidad sin privilegios puede enumerar los sistemas incorporados en Arc filtrando los datos de reconocimiento de Azure recopilados para buscar dispositivos con un ResourceID que contenga Microsoft.HybridCompute (tenga en cuenta que esto es diferente de un dispositivo híbrido-unido dentro de Entra y no debería producir ningún falso positivo). Si tiene acceso a la línea de comandos de Azure, este proceso es bastante sencillo, utilizando el siguiente comando:
Esta cadena larga de ResourceID también tiene el beneficio añadido de contener el ID de suscripción y el grupo de recursos al que está asociado el sistema, lo que permite identificar múltiples implementaciones de Arc que abarcan diferentes entornos.
Como alternativa, si ha recopilado datos de Azure a través de ROADrecon o AzureHound, puede analizar Resultados para identificar objetos gestionados por Arc. Dentro de ROADrecon, la información pertinente se almacena dentro del ResourceID, y dentro de los archivos de colección JSON de AzureHound, la misma información se almacena dentro del atributo AlternativeNames. Aunque no parece que este atributo se copie en BloodHound o no sea accesible directamente, la búsqueda directa en el archivo JSON puede permitir la recuperación de una lista completa de objetos gestionados.
Los indicadores en las instalaciones de la implementación de Arc se dividen en una de dos categorías: localhost y red. Cuando el cliente de Arc se instala en un sistema, creará la carpeta C:\Program Files\AzureConnectedMachineAgent, que contiene todos los archivos pertinentes relacionados con el cliente de Arc. La presencia de esta carpeta, así como de procesos y servicios relacionados con Arc (por ejemplo, gc_arc_service.exe o arcproxy.exe), pueden proporcionar algunas cosas sencillas de comprobar. Además, según el mecanismo de implementación utilizado para llevar el cliente de Arc a los sistemas de la red, es posible que haya algunas cosas adicionales que buscar. Por ejemplo, si Arc se implementa a través de GPO, el proceso de configuración crea un GPO autogenerado denominado [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
Entonces, si hemos identificado que Arc está en uso en un entorno, ¿cómo podemos acceder a él? Para responder a esa pregunta, es importante comprender primero qué constituye específicamente el acceso que nos interesaría. Como el objetivo principal del acceso suele ser ejecutar código en un endpoint gestionado, trabajar hacia atrás desde permisos que permiten la ejecución de código hasta los roles de Azure que otorgan esos permisos puede ser un buen punto de partida para cuentas y roles que nos puedan interesar. Mirando hacia atrás en investigaciones anteriores de Benedikt Strobl en NSIDE Attack Logic, vemos que podemos ejecutar una consulta de PowerShell que obtendrá todos los roles que otorgan permisos que habilitan al menos un mecanismo de ejecución de código a través de Arc (más información sobre los detalles de estos mecanismos en la siguiente sección). La consulta y el output se pueden ver a continuación:
Además de algunos roles extraños que sobresalen, como Colaborador de Análisis de Logs, uno de los más interesantes es el rol de Administrador de recursos de máquinas conectadas de Azure. Si recuerda la sección anterior del proceso de implementación de Azure Arc, este era uno de los roles que se podían asignar a la entidad de servicio creada durante el proceso de implementación de Arc.
Básicamente, esto pone a la entidad de servicio de implementación, que por necesidad probablemente tendrá su secreto accesible en la red de las instalaciones, a una sola casilla de verificación (una casilla de verificación que no tiene advertencia ni contexto adicional sobre el riesgo) lejos de ser un administrador dentro de Arc. Una entidad de servicio con este rol administrativo asignado inadvertidamente durante la creación no solo podría utilizarse para registrar nuevos clientes de Arc en Azure, sino también para ejecutar comandos en cualquier cliente de Arc instalado. Fue esta omisión comprensible la que identificamos y nos beneficiamos durante nuestra reciente evaluación, permitiéndonos escalar privilegios a través de Arc y hacernos cargo del entorno de las instalaciones del cliente.
Esta entidad de servicio de implementación parece ser un buen objetivo inicial, especialmente si no tienes los privilegios necesarios para obtener listados de otras cuentas con los otros roles mencionados que les asignan ejecución de código. Pero ¿cómo intentarías acceder a ella? En primer lugar, y probablemente de forma más directa, si tiene una ruta dentro de Entra para obtener acceso a una entidad de servicio asociada a Arc añadiéndole un secreto (por ejemplo, propietario de la entidad de servicio, administrador de la aplicación, etc.) podría modificarla directamente el objeto y luego usarlo para autenticarse, lo que podría permitirle obtener acceso privilegiado a Arc. Más allá de esto, los mecanismos de implementación que utiliza Arc también pueden estar mal configurados o permitir la escalada via recuperación del secreto de la entidad de servicio de implementación. A continuación analizaremos cada uno de los cuatro principales mecanismos de implementación empresarial compatibles con Arc para identificar las posibles rutas de escalación que comprobar.
El método de implementación predeterminado y más básico para Arc es mediante la descarga de un script de PowerShell generado automáticamente que un administrador de TI puede ejecutar en varios sistemas. Este script extrae el instalador MSI pertinente del sitio web de Microsoft y, posteriormente, realiza la configuración de seguimiento para conectar el cliente instalado al tenant de Azure correcto. De forma algo divertida, el mecanismo de autenticación por defecto soportado dentro de este script auto-generado es codificar de forma fija el secreto de la entidad de servicio que se está usando para la implementación en el script.
Como este mecanismo de implementación es tan sencillo, no hay mucho que hacer para obtener acceso aparte de estar atento durante el reconocimiento normal de recursos compartidos de archivos para scripts de PowerShell con el nombre de script predeterminado OnboardingScript.ps1, así como scripts con nombres o contenido relacionado con Arc.
Al seleccionar Gestor de configuración para la implementación, se genera un script de PowerShell idéntico al anterior, con la principal diferencia de que Arc proporciona orientación adicional sobre cómo implementar el script directamente a través del System Center Configuration Manager (SCCM) de Microsoft, ya sea mediante una ejecución directa del script o como una secuencia de tareas.
Aunque estos son los dos mecanismos recomendados para la implementación, un administrador de TI puede utilizar alternativamente algún otro mecanismo de implementación a través de SCCM, como la instalación de un paquete o una aplicación. Independientemente de la opción de implementación en uso, es importante tener en cuenta el concepto de colecciones dentro de SCCM, que sirven como ámbito de objetivo para la implementación de secuencias de tareas y (opcionalmente) scripts. Intentar recuperar datos SCCM de un host aleatorio en el entorno probablemente no produzca grandes resultados porque si el host no es miembro de la colección adecuada, no podrá recuperar la información pertinente en la mayoría de los casos. En su lugar, moverse primero lateralmente a un host que se haya identificado como un cliente Arc (o incluso mejor, un punto de gestión SCCM o un servidor de base de datos) y, a continuación, realizar el reconocimiento SCCM probablemente tendrá mejores resultados.
El gestor de configuración de SCCM contiene funciones que permiten a los administradores ejecutar scripts de PowerShell en sistemas gestionados. El cliente SCCM no extrae los scripts de la misma manera que las secuencias de tareas o los paquetes; más bien, se envían a demanda desde el servidor a los sistemas cliente. Para probar esto, podemos crear un script simple en el Administrador de configuración de SCCM utilizando el script de implementación de Arc generado automáticamente. Dejaremos el secreto sin resolver por ahora, ya que el sistema en el que estamos implementando ya tiene Arc instalado.
Cuando el script se implemente a través de SCCM, se copiará en el directorio C:\Windows\CCM\ScriptStore en el sistema cliente y se configurará con una lista de control de acceso discrecional (DACL) que restringe el acceso solo a NT_AUTHORITY\SYSTEM, antes de ser ejecutado por el cliente SCCM. Los archivos de esta carpeta se limpian periódicamente en función de las configuraciones específicas de la instancia, pero definitivamente vale la pena comprobar si este u otros scripts pueden contener datos confidenciales.
Como alternativa, si obtiene acceso a la base de datos de SCCM, puede recuperar directamente todos los scripts creados en SCCM utilizando el módulo ScriptData en SQLRecon. A continuación se muestra un ejemplo del output de la ejecución de ese módulo en la base de datos del sitio para una instancia de SCCM configurada con un script para implementar Arc.
Siendo realistas, la implementación VIA un script SCCM probablemente no sea muy factible en la práctica, ya que la ejecución del script SCCM es un proceso manual y puntual. Si se ponen en línea nuevos servidores y es necesario agregarlos a Arc en cualquier momento en el futuro, un administrador tendría que recordar volver a entrar y volver a ejecutar el script para aplicarlo a sistemas adicionales.
Un proceso de implementación más automatizado y escalable se haría a través de una secuencia de tareas aplicada a una colección SCCM. Para probar este mecanismo, podemos crear una secuencia de tareas simple que ejecute el script de implementación de Arc e implementarlo en una colección SCCM que contenga un sistema desde el que estemos ejecutando.
Tras implementar este script, podemos ejecutar el comando get secrets en SharpSCCM para recuperar secuencias de tareas accesibles que contienen scripts, ya que las políticas que contienen scripts tienen añadida la marca secreta.
La propiedad SourceScript dentro de la política pertinente contiene una representación b64 del script original que se está pasando. Volver a convertirlo en texto plano nos permite recuperar el script original.
De forma similar a las opciones disponibles al recuperar un script, si tenemos acceso a la base de datos del sitio SCCM, también podemos recuperar directamente los datos de la secuencia de tareas mediante SQLRecon.
El despliegue de Arc a través de Group Policy es un poco más complicado que los dos mecanismos anteriores y consta de varios pasos que comienzan con la configuración de un recurso compartido de red al que el script, ejecutado a través de un objeto de Group Policy (GPO), puede apuntar. La guía oficial indica que todos los ordenadores del dominio deben tener acceso de lectura y escritura a este recurso compartido, lo que significa que si se utiliza este mecanismo de implementación, el secreto de la entidad de servicio debería poder recuperarse de cualquier contexto NT_AUTHORITY\SYSTEM del dominio.
Después de configurar el recurso compartido y descargar y copiar el MSI del cliente de Arc, el próximo paso consiste en descargar un repositorio de GitHub que contiene scripts de PowerShell y DLLs asociadas que se usan para crear automáticamente la GPO.
Por último, se genera un script de PowerShell que llama a los archivos descargados de GitHub, con argumentos basados en la ubicación del recurso compartido de implementación de Arc configurado previamente.
La ejecución de este script de PowerShell resultante hará que se cree un GPO, que crea una tarea programada que instala el cliente de Arc utilizando los archivos alojados en el recurso compartido de red de implementación y lo conecta a Azure. Este GPO puede vincularse posteriormente a una unidad organizativa (OU) que contenga sistemas para implementar Arc.
Si se identifica un GPO que coincida con esta convención de nombres durante el reconocimiento estándar de Active Directory, los archivos GPO se pueden revisar para determinar la ubicación de la red compartida que contiene los archivos de implementación.
Con algún tipo de acceso en el contexto de NT_AUTHORITY\SYSTEM, este recurso compartido se puede navegar de forma remota (si se crea con el acceso predeterminado/recomendado por MS), que tendrá el siguiente aspecto:
Lo más interesante es el archivo encryptedServicePrincipalSecret , con un nombre muy llamativo. Al echar un vistazo al script EnableAzureArc.ps1 muestra que este secreto es un blob cifrado mediante DPAPI-NG.
DPAPI-NG (o Cryptographic Próxima Generación [CNG] DPAPI) permite no solo la funcionalidad de cifrado y descifrado DPAPI específica del usuario o de la máquina, sino que también permite operaciones basadas en las membresías de un objeto. Por ejemplo, en este caso, el blob DPAPI-NG dentro de encryptedServicePrincipalSecret está configurado para permitir que cualquier miembro del grupo de equipos del dominio lo descifre. Reuní un script de PowerShell súper simple como prueba de concepto, pero debería ser bastante sencillo traducir el código de AzureArcDeployment.psm1 (que en sí mismo es solo un contenedor alrededor del código .NET) en un ensamblado que se puede ejecutar en memoria en una baliza en el contexto de NT_AUTHORITY\SYSTEM para recuperar y descifrar el secreto.
Por último, el resto de la información pertinente sobre la conexión, como el ID de la entidad de servicio, el ID de la suscripción, etc., se puede encontrar en el archivo ArcInfo.json que también se encuentra en el mismo recurso compartido de implementación.
La última opción oficial de implementación genera una guía de estrategias de Ansible muy similar a los scripts de PowerShell mencionados anteriormente. Los detalles sobre cómo atacar Ansible variarán bastante según la configuración y el entorno, y como resultado, no profundizaremos más en este mecanismo de implementación.
Aunque Arc permite la gestión de hosts Linux, los métodos de implementación disponibles directamente en el módulo de servidor Arc en Azure se inclinan en gran medida hacia dispositivos basados en Windows. Las implementaciones de Linux se respaldan mediante el uso de un script bash, pero, de manera similar a las implementaciones de Ansible, es probable que tengan un grado mucho mayor de variación cuando se aplican en un entorno empresarial.
De ahora en adelante, supongamos que hemos recuperado correctamente el secreto de una entidad de servicio y que esta entidad de servicio (u otra cuenta recuperada) tiene privilegios de ejecución en Arc. Dado que el propósito de Arc es exponer los dispositivos en las instalaciones al plano de control de Azure, una variedad de primitivas de ejecución de código normalmente asociadas con las máquinas virtuales de Azure entran en el alcance para obtener acceso a los hosts en las instalaciones que tienen instalado el cliente de Arc. Sin embargo, centrarse en las vías de ejecución que solo requieren los permisos específicos de Arc mencionados anteriormente ofrece dos amplias categorías de acciones de ejecución: ejecutar comandos y adiciones o modificaciones de extensiones. Ambos vectores de ejecución funcionan de forma prácticamente idéntica a una ejecución equivalente contra una máquina virtual de Azure y han sido documentados extensamente por otros en blogs y herramientas anteriores, por lo que no profundizaremos demasiado en ellos más allá del uso operativo y algunas peculiaridades interesantes que no están tan ampliamente documentadas.
El comando de ejecución es una especie de pseudoextensión que comparte muchas de las características en disco y los detalles del árbol de ejecución con otras extensiones, pero se instala automáticamente junto con Arc y no aparece en la lista de extensiones instaladas de un sistema gestionado. Esta capacidad permite una forma sencilla de ejecutar comandos en un cliente gestionado a través de Arc, siendo el principal requisito previo que la versión del cliente sea >= 1.33. Puede verificar esto con el comando az connectedmachine show, como se muestra a continuación.
Tenga en cuenta que intentar ejecutar un comando a través de la línea de comandos az (CLI) requiere no solo los permisos de escritura mencionados anteriormente, sino también privilegios de lectura en el grupo de recursos, que por defecto una entidad de servicio auto-generada no tendrá. Como resultado, al intentar ejecutar un comando directamente desde la CLI de az se produce un error.
Esto se puede omitir interactuando directamente con la API REST de Azure, aunque no será posible recuperar la salida de los comandos ejecutados. En este ejemplo, crearemos un trabajo de ejecución llamado run-notepad que simplemente inicia notepad.exe en el sistema cliente.
El comando que se pasa se escribe en un script de PowerShell en la carpeta C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, con un nombre correspondiente al nombre del trabajo de ejecución creado dentro de Arc y, en última instancia, se ejecutan en el contexto de NT_AUTHORITY\SYSTEM.
Este script de PowerShell no se elimina automáticamente al finalizar la ejecución, aunque las ejecuciones adicionales de un trabajo de ejecución con el mismo nombre harán que se elimine el script original y se cree uno nuevo con un sufijo iterado, como se ve a continuación.
Además de este script, se crean varios otros archivos en el disco durante la ejecución de cada comando de ejecución. Estos se tratarán en mayor profundidad en la sección Orientación defensiva.
Además, tenga en cuenta que un comando de ejecución crea un objeto dentro de Azure que debe eliminarse posteriormente una vez completada la ejecución. Como esta acción no se lee a nivel de grupo de recursos, puede ejecutarse directamente a través de la CLI de az.
Los clientes de Arc pueden aumentar su funcionalidad mediante la instalación de una variedad de extensiones aprobadas por Microsoft, de manera similar a las máquinas virtuales de Azure. La extensión de la que se abusa con más frecuencia es la Custom Script Extension (CSE) para Windows, que permite tanto la ejecución de comandos arbitrarios como la descarga de archivos de Internet. Sin embargo, otras extensiones ofrecen diferentes árboles de ejecución que pueden ayudar a evadir una detección estática centrada en la ejecución de un CSE. A continuación echaremos un vistazo tanto a la ejecución mediante CSE como a la extensión del Centro de Administración de Windows.
Suponiendo que esté ejecutando en el contexto de una entidad de servicio aprovisionada con el rol de Azure Connected Machine Resource Administrator en una suscripción con la configuración predeterminada, una vez más tendrá que enviar comandos a través de la API REST de Azure. Antes de la ejecución, una advertencia de la ejecución basada en extensiones es que solo se puede implementar una única copia de una extensión en un host en un momento dado, lo que significa que si ya se ha agregado un CSE al host de destino, deberá actualizar la extensión existente, en lugar de crear una nueva extensión. La lista de extensiones instaladas actualmente en un host se puede recuperar de la CLI de az con lo siguiente:
En este caso, aún no hay extensiones instaladas en este host:
Se requieren varios args al crear un CSE, siendo el más importante el protectedSettings arg, ya que contiene un atributo opcional commandToExecut . Este atributo es donde, apropiadamente, se colocan los argumentos de ejecución de comandos. A continuación se puede ver un ejemplo de comando az CLI que puede ejecutarse contra la API REST para crear un CSE que inicie el bloc de notas:
Ejecutar esto una vez más da como resultado una ejecución en el contexto de NT_AUTHORITY\SYSTEM.
Una vez que se ha creado un CSE, también puede comprobar su estado actual a través de la API REST, utilizando un comando con el siguiente formato:
Al ejecutarlo, podemos ver que la implementación de CSE permanece en un estado de ejecución hasta que el proceso que lanzó finaliza en el sistema cliente.
Es importante tener en cuenta este comportamiento, ya que las extensiones no se pueden detener a la fuerza, ni siquiera intentando eliminar el CSE. Esto significa que si lanza un CSE que genera un proceso de larga duración que no te concede acceso al sistema, y no tiens otro mecanismo (como comandos de ejecución) que le permita matar el proceso, podría bloquearse de más ejecuciones de CSE hasta que la caja se reinicie. Además, si usa un CSE como mecanismo para implementar una baliza C2, se recomienda migrar fuera del proceso de origen para poder limpiar el objeto CSE.
Siguiendo adelante, digamos que queremos hacer algo un poco más avanzado con nuestra ejecución de CSE que simplemente ejecutar el bloc de notas. Existen varias opciones para actualizar nuestro CSE actual, y podemos actualizar in situ o eliminar la extensión CSE y volver a implementar. La actualización in situ es más sencilla, pero depende de que la ejecución anterior de CSE esté en algún tipo de estado completado (por ejemplo, correcto, fallido) antes de la ejecución. Para actualizar un CSE ya existente, simplemente puede modificar y volver a enviar el comando original que pasó a la API REST para crearlo, cambiando el valor del atributo commandToExecute a cualquiera que sea su comando actualizado. Esto tiene el beneficio añadido de mantener la estructura de carpetas de CSE en el sistema cliente entre ejecuciones.
He descubierto que, en algunos casos, el CSE puede quedarse colgado en un estado de creación, incluso cuando el proceso que ha ejecutado ya no se está ejecutando en el sistema cliente. La mejor forma que he encontrado de identificar este estado es comprobando la lista de extensiones en el host afectado, que previsiblemente mostrará el host en un provisioningState de Creación, pero si en realidad un proceso sigue ejecutándose a través del host, también observará un mensaje de estado que muestra que la ejecución está teniendo lugar.
Si encuentra su CSE en este estado "Creando, pero no ejecutándose", el mejor enfoque es eliminarlo por completo (si está seguro de que el proceso que ejecutó con él ya no se está ejecutando), lo que se puede lograr con lo siguiente comando:
Intentar eliminar un CSE cuando el ejecutable subyacente aún se está ejecutando (por ejemplo, una baliza https que se ejecuta como NT_AUTHORITY\SYSTEM que no puede salir debido a los controles de proxy) no hará que el proceso se cierre, ni que el CSE se elimine a sí mismo . En su lugar, puede provocar que la extensión CSE se atasque en un estado de eliminación indefinida, y la única corrección completa que identifiqué fue eliminar el objeto principal de identidad híbrida de Azure, desinstalar el cliente de Arc del sistema gestionado y reinstalar todo. Suena aterrador, pero una vez que lo descubrí, fue como un proceso de cinco minutos para que todo volviera a funcionar.
Otra cosa a tener en cuenta con respecto a la eliminación de CSE: el proceso de eliminación elimina la carpeta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension del disco del sistema cliente, borrando cualquier archivo que haya cargado o modificado en esa estructura. Además, se tarda de tres a cinco minutos en procesar el comando de eliminación de CSE en Azure; esto es normal.
Una de las cosas interesantes que puede hacer un CSE además de ejecutar comandos es descargar archivos de Internet. Se puede especificar un array de archivos bajo el arg de configuración en el attrib fileUris, que permite descargar archivos a la carpeta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator ]. Esta estructura de carpetas persiste hasta que se elimina el CSE dentro de Azure, momento en el que todo lo relacionado con la extensión CSE se elimina del disco. Esto significa que podría crear un script que copiaría los archivos de esta carpeta a otra parte del disco, lo que permitiría un mecanismo para el contrabando de archivos que no dependa de una base de descarga web tradicional. Como estos archivos persisten una vez que se mueven fuera del directorio predeterminado, podrían copiarse y luego ejecutarse con un CSE posterior desde otro lugar del disco, rompiendo una detección estática que depende de la identificación de ejecuciones de la carpeta de descargas de CSE anotada anteriormente.
Cuando se crea una lógica más avanzada como esta, que puede tener éxito o no, también es útil poder recuperar el output que indica si una ejecución tuvo éxito o no. Si bien no podemos recuperar directamente el output de las ejecuciones de CSE, se devuelven códigos de salida, lo que significa que podemos incluir ramificaciones condicionales en nuestro código que finaliza con un código específico basado en el estado actual del programa (por ejemplo, copia de archivo exitosa) . Juntando estas piezas, pongamos en escena una demostración súper artificiosa que haga lo siguiente:
Un sencillo script de PowerShell que logre estas cosas sería algo así:
Al formatear esto con todos los escapes necesarios para permitir que este script se pase en un blob JSON a través de la API az REST, obtenemos un comando que se ve así:
Ejecutamos lo anterior y, tras esperar un minuto a que se complete la ejecución, podemos comprobar su estado con el comando az connectedmachine extension list. Al ejecutar esto, se muestra que tenemos un código de salida 10 atrás, que indica que la ejecución se ha realizado correctamente. El mensaje de error es un mensaje genérico que indica un código de devolución distinto a cero, lo cual no nos preocupa.
Al comprobar el sistema remoto, también podemos verificar que los archivos se han copiado correctamente.
Como podemos ver, este código comienza a complicarse bastante rápido. Para agilizar aún más las cosas, también sería posible descargar un script de PowerShell añadiéndolo a la matriz fileUris y llamándolo después desde el atributo commandToExecute.
Antes de continuar, déjame compartir una última idea sobre cómo podría aumentar el sigilo de esta técnica cambiando su huella de ejecución. Si recuerda nuestro lanzamiento inicial del proceso a través de CSE, cmd.exe apareció en la parte superior del árbol de ejecución, sin ningún proceso principal visible.
Echar un vistazo a este proceso cmd.exe superior muestra un ID de proceso principal (PID) inexistente de 5068.
Podemos profundizar un poco más con Process Monitor, mostrando que nuestro misterioso ID de proceso principal (PPID) de 5068 era otra instancia de cmd.exe, que creó nuestro árbol de procesos actual a través de una llamada cmd /c. Este misterioso proceso de cmd lo generó gc_extension_service.exe en el PID 3588 al ejecutar el script enable.cmd.
¿Por qué importa todo esto? Bueno, actualmente tenemos un árbol de ejecución bastante estático desde gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [lo que sea que ejecutemos a través de CSE]. Si pudiéramos insertarnos más arriba en esa cadena, podríamos eludir las detecciones centradas en ejecuciones sospechosas que proceden de esa conocida estructura de árbol de procesos. Como este archivo .cmd es solo un script sin firmar que NT_AUTHORITY\SYSTEM ejecuta desde una ubicación conocida como resultado de un evento que controlamos (crear o modificar un CSE), sería posible modificar este script para redirigir el flujo de ejecución estándar directamente llamar a un proceso de nuestra elección. Suponiendo que nuestro único vector de ejecución en el host es a través de Arc, presenta un problema de huevo o gallina, ya que tendríamos que ejecutar a través de un árbol de procesos conocido para modificar este archivo. Sin embargo, realizar modificaciones de texto en un archivo sin firmar tiene un perfil de detectabilidad mucho más bajo en comparación con otras acciones típicas posteriores a la explotación. No entraré en más detalles sobre esta modificación (u otras modificaciones similares que podrían realizarse en otras extensiones), sino solo una idea de algo interesante que podría hacer.
Hasta ahora, nos hemos centrado en los ataques que son posibles utilizando la API REST no interactiva desde el punto de vista de una entidad de servicio sobreaprovisionada configurada con el rol Azure Connected Machine Resource Administrator. Sin embargo, si tenemos una cuenta que tiene acceso a la interfaz gráfica de usuario (GUI) web, el alcance de lo que se puede hacer aumenta sustancialmente. Hay una variedad de extensiones que se pueden enviar a clientes administrados y abrir nuevas vías de ejecución de código, pero cuando estaba investigando dentro de Arc, una de las que más me interesó fue el Centro de administración de Windows (WAC). Arc puede implementar el componente de gestión de back-end del Windows Admin Center, una herramienta de gestión remota independiente lanzada por Microsoft, mediante una extensión de Arc. Que yo sepa, no es posible interactuar directamente con esta extensión a través de la API REST de Azure, pero una variedad de opciones de administración del sistema están expuestas a través de la GUI una vez implementadas en un cliente.
Una vez instalada la extensión WAC (lol) en un sistema gestionado por Arc, se puede acceder a ella directamente a través del portal de Arc navegando por el dispositivo gestionado, suponiendo que tenga asignada la función adecuada (o que pueda asignársela usted mismo).
Con el acceso adecuado configurado, puede conectarse a la interfaz de gestión y ejecutar código a través de una variedad de mecanismos diferentes, incluida la creación de procesos, la creación o modificación de tareas programadas, la modificación de servicios y la modificación del registro. Evitaré entrar en los detalles de cada uno de ellos, pero analizaré rápidamente la creación de procesos como ejemplo que demuestra algunas de las peculiaridades de la ejecución a través de WAC.
La creación de procesos es probablemente la forma más sencilla de ejecutar código mediante WAC, simplemente ingrese un proceso para comenzar (con argumentos opcionales) y haga clic en ir.
Curiosamente, esto se ejecuta en el contexto de una cuenta virtual (WAC_[su nombre de usuario de Azure]), pero en un contexto de alta integridad con privilegios de token completos, como se puede ver al canalizar un whoami /priv a un archivo de texto en el disco.
El proceso en sí surge como hijo de WmiPrvSe.exe, un árbol de procesos familiar para aquellos familiarizados con el movimiento lateral a través de Process.Create. Cuando se ejecuta un comando de esta manera, se crea una carpeta de usuario para la cuenta virtual en el disco, lo que deja aún más IOC que deben limpiarse. ¡Sin embargo, es fácil de usar!
Además de estos vectores de ejecución de código, existen otras características de gestión, como la exploración gráfica de archivos y archivos compartidos, una característica imprescindible para su propio C2 de nivel empresarial.
WAC también tiene un panel de control de máquinas virtuales, que permite la instalación de Hyper-V en el sistema gestionado y, posteriormente, la implementación y gestión de máquinas virtuales.
Inicialmente esta característica parecía muy prometedora, pero primero tuve problemas al intentar averiguar cómo implementar un archivo ISO en el host. El explorador de archivos de WAC tiene una funcionalidad de carga integrada, pero lamentablemente tiene un límite bastante bajo en el tamaño de carga. Esto significaba que sería necesario implementar un mecanismo alternativo para obtener una ISO adecuada en el sistema con el fin de construir una VM. Se encontraron problemas posteriores que probablemente también se presentarían en un entorno empresarial con respecto a la virtualización anidada. Dado que muchos sistemas en un entorno empresarial suelen estar virtualizados, Intel VT-x / AMD-V tendría que estar habilitado en el sistema para permitir la virtualización anidada.
Por último, con todas estas características de gestión disponibles, no faltan ataques interesantes que podrías realizar mediante reemplazo de archivos o modificaciones para secuestrar cosas que Arc o WAC están haciendo en segundo plano y así ocultar aún más cualquier acción posterior a la explotación. Recuerde, esta es solo una de las muchas extensiones disponibles para implementar en clientes gestionados por Arc; indudablemente existen vectores de ejecución de código similares en otros que pueden ofrecer más funcionalidades.
Tenga en cuenta que WAC realiza sus propias instalaciones independientes y, por tanto, amplía significativamente la huella en disco y los requisitos de limpieza asociados a un compromiso. Además, las acciones que se ejecutan en el contexto de una cuenta WAC_ darán lugar a acciones adicionales en el disco, como la creación de una carpeta de usuario, aunque no se genera ningún perfil de usuario local para la cuenta. Dicho esto, aunque esto sirve como una vía que abre un puñado de vectores de ejecución de código, puede ser algo que me salte en un servidor de misión crítica.
Supongamos que ha recuperado un secreto de la entidad de servicio, pero que ha sido debidamente aprovisionado para permitir únicamente la incorporación de sistemas. Aún puede valer la pena intentar incorporar un sistema que controle para ver si alguna instalación o configuración automatizada que contenga material adicional de credenciales se envía río abajo a su sistema.
Este es un tema del que no había visto muchas menciones hasta el reciente blog de Andy Gill sobre el uso de Arc como mecanismo C2. Arc es genial porque es un producto legítimo de Microsoft y se comunica directamente con endpoints API conocidos dentro de Azure, lo que significa que normalmente pasa desapercibido por los productos de EDR (detección y respuesta de endpoints). Aunque no recomiendo intentar operar a través de Arc, sirve como un interesante mecanismo fuera de banda para la persistencia de reserva dentro de un entorno. Aunque un host esté unido de forma híbrida a un entorno Entra, no es necesario que se conecte a una instancia de Arc alojada en el mismo tenant. Realmente, lo que esto significa es que si tiene un contexto de alta integridad en un host que aún no está administrado a través de Arc, puede implementar su propio cliente Arc y administrarlo a través de su propio tenant de Azure.
Como el blog de Andy hace un gran trabajo al detallar el uso general de Arc para la persistencia, solo añadiré un pequeño punto para la operacionalización cuando el acceso basado en GUI no sea posible (como lo que sería típico al operar a través de un agente C2). Al revisar las reseñas de implementación, el proceso de instalación del cliente de Arc consta en gran medida de dos partes: la instalación del cliente real a través de un instalador MSI y la conexión del cliente instalado a un tenant de Azure a través de argumentos de línea de comandos pasados al Agente de máquina conectada de Arc (C:\ Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos pasos de este proceso pueden completarse local o remotamente (utilizando su vía preferida de ejecución de código de movimiento lateral) desde un contexto de línea de comandos no interactivo, usando la sintaxis aproximada de:
Una vez conectado, el sistema aparecerá dentro del módulo de servidor Arc en su tenat de Azure, y podrá usar la CLI de az, la API REST de az o la interfaz gráfica para realizar acciones en él. Ahora que el cliente Arc está conectado a un tenant sobre el que tiene control total, también hay una gama más amplia de opciones disponibles para la ejecución posterior de código que van más allá del alcance de lo que se ha tratado en este blog.
Un punto adicional sobre la implementación de Arc: desafortunadamente, no puede conectarse "por encima" de otra configuración de Arc sin desconectar primero la conexión de Arc existente, una operación que requiere el rol de Azure Connected Machine Resource Administrator. Probablemente podría solucionar esto desinstalando completamente y luego reinstalando el cliente de Arc, pero esa no sería mi primera opción para la ejecución o la persistencia. En realidad, lo que esto significa es que si un sistema ya tiene Arc instalado, debe centrarse en obtener acceso a él a través de la conexión existente, en lugar de intentar establecer una conexión con su propio tenant en él.
Nota: Esta lista no pretende contener una lista exhaustiva de todas las investigaciones relacionadas del uso ofensivo de Arc; más bien, contiene una lista de artículos y charlas que me ayudaron a comprender la plataforma, así como los vectores de ataque disponibles a través de ella.
