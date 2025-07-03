Riset saya tentang Microsoft Azure Arc dimulai selama operasi tim merah baru-baru ini di mana kami menemukan skrip PowerShell yang berisi rahasia Service Principal hardcode yang bertanggung jawab untuk menerapkan Arc ke sistem on premises. Saya tidak tahu banyak tentang layanan ini, jadi saya mulai melakukan riset untuk menentukan apa yang dapat kami lakukan dengan kredensial yang dipulihkan. Kami akhirnya dapat menggunakan teknik yang didokumentasikan dalam riset sebelumnya tentang topik ini untuk mendapatkan eksekusi kode pada pengontrol domain dan memutar kembali ke Microsoft Azure, tetapi ini membuat saya berpikir tentang beberapa pertanyaan yang lebih luas terkait dengan Arc: Bagaimana Anda mengidentifikasinya di lingkungan? Konfigurasi (salah) apa yang mungkin ada yang memungkinkan eskalasi? Vektor eksekusi kode apa lagi yang ada di dalamnya? Bisakah itu digunakan sebagai mekanisme persistensi di luar band?
Jadi, apa itu Azure Arc? Pada tingkat tinggi, ini memperluas kemampuan manajemen asli Azure ke berbagai sumber daya non-Azure seperti sistem on premises, klaster Kubernetes, dan penerapan vCenter, memungkinkan sistem ini dikelola melalui Resource Manager dengan cara yang sama dengan host native Azure. Setelah agen Arc diterapkan ke host, itu mendaftarkan sumber daya yang mendasarinya di Azure dan mengekspos rangkaian fitur manajemen: pemantauan, penegakan kebijakan, manajemen pembaruan, dll. Namun, yang paling menarik bagi saya adalah kemampuan untuk menggunakannya untuk mengunduh file dari jarak jauh dan menjalankan perintah dari proses tepercaya dalam konteks NT_AUTHORITY\ SYSTEM. Sementara beberapa fungsi Arc tumpang tindih dengan Intune, Arc dibuat khusus untuk mengelola infrastruktur dan server, bukan titik akhir atau perangkat mobile.
Arc bukan sangat baru (awalnya dirilis pada 2019), dan penelitian sebelumnya lainnya telah menguraikan bagaimana itu dapat digunakan untuk mengeksekusi kode dan bertahan di lingkungan. Selain itu, penelitian yang ada tentang menyerang Azure Virtual Machines (VM) memiliki tumpang tindih yang signifikan dengan Arc, karena sistem lokal yang dikonfigurasi dengan Arc dapat dikelola di Azure seperti VM native Azure. Dengan blog ini, saya berharap dapat memberikan sedikit lebih banyak konteks dengan berfokus pada area yang tidak dieksplorasi secara menyeluruh dalam riset yang ada, serta menguraikan penggunaan platform yang ofensif dalam alur kerja yang khas dan memberikan panduan defensif yang menyertainya untuk penerapan Azure Arc.
Sebelum membahas secara mendalam tentang cara menyerang Arc, saya menyiapkannya terlebih dulu di penyewa uji untuk memahami lebih baik cara kerja layanan dan seperti apa proses penerapannya. Karena Arc adalah layanan Azure, itu memerlukan langganan dan grup sumber daya hilir untuk melampirkan sumber daya terkelola; akses juga kemudian dikelola melalui peran kontrol akses berbasis peran (RBAC) Azure yang ditetapkan pada cakupan ini. Jika Anda ingin menyiapkannya di lab Anda sendiri, satu catatan tambahan, Anda harus mendaftar ke penyedia sumber daya berikut pada langganan Anda di bawah Subscriptions -> (langganan Anda) -> Settings -> Resource Providers:
Setelah prasyarat ini terpenuhi, akun dengan peran yang sesuai yang ditetapkan pada langganan yang terkait dengan Arc dapat digunakan untuk mengakses layanan, di mana Anda bertemu dengan jendela manajemen umum.
Karena kami belum menerapkan Arc di mana pun, kami akan segera melompat ke antarmuka Add Resources daya. Menu ini berisi opsi penerapan dan penemuan untuk berbagai jenis perangkat, tetapi yang paling menarik adalah fungsionalitas Machine yang memungkinkan kita mengelola server Windows dan Linux yang dihosting di luar penyewa Azure saat ini. Mengklik ini menunjukkan berbagai opsi penerapan untuk satu atau beberapa penerapan host.
Dalam antarmuka ini, Single server dan Windows Server with installer lebih cocok untuk penerapan satu kali, dan opsi AWS / Update Management lebih fokus pada perangkat cloud-native yang sudah dikelola melalui Azure atau AWS . Dalam hal ini, kami paling tertarik pada opsi penerapan beberapa server, karena ini kemungkinan akan menjadi rute paling umum yang akan digunakan admin TI dalam skenario penerapan perusahaan hybrid.
Mengklik opsi beberapa server, alur kerja penerapan selanjutnya mengajukan berbagai pertanyaan dasar mengenai langganan, grup sumber daya, dan wilayah untuk melampirkan perangkat yang dikelola ARC. Semuanya cukup mudah sampai bagian bawah halaman ini, di mana kita diminta untuk menentukan Service Principal yang akan digunakan untuk pendaftaran perangkat selama penerapan ini. Blok teks di bawah ini pada dasarnya hanya menyatakan bahwa Anda memerlukan Service Principal yang dikonfigurasi dengan peran Azure Connected Machine Onboarding untuk melakukan penerapan, dan juga memberi Anda opsi untuk membuat Service Principal baru dengan peran yang sesuai ditetapkan.
Dalam hal ini, kita akan membuat Service Principal Test_arc_SP baru untuk penerapan kita.
Antarmuka pembuatan ini selanjutnya menanyakan peran apa yang kita berikan kepada Service Principal baru kita. Kita dapat memilih salah satu opsi, termasuk Azure Connected Machine Resource Administrator yang bernama menarik, tanpa konteks atau peringatan lebih lanjut tentang hak istimewa yang diberikan peran ini.
Akhirnya, kami disajikan dengan salah satu dari empat mekanisme yang didukung untuk menerapkan Arc ke on premises, seperti yang dapat dilihat pada gambar di bawah ini. Kami akan membahas masing-masing ini sedikit lebih mendalam di bagian Mendapatkan akses ke Arc di bawah ini.
Setelah Arc diterapkan melalui metode instalasi apa pun yang dipilih dan terhubung kembali ke Azure, sistem klien baru akan muncul di bawah Azure Arc -> Sumber daya resources.
Ketika berpikir tentang penggunaan Arc yang ofensif, pertanyaan pertama yang saya tanyakan adalah, “Ketika saya masuk ke lingkungan perusahaan hybrid, pengintaian apa yang dapat saya lakukan untuk menentukan apakah Arc digunakan?” Indikator-indikator ini sebagian besar dapat dipecah menjadi dua kategori, Azure dan on premises.
Akses ke Arc dikendalikan melalui Azure RBAC, yang berarti akses ke layanan dan bahkan visibilitas dasar ke dalam penggunaannya sebagian besar berada di luar lingkup objek yang tidak ditugaskan dengan peran apa pun dalam langganan yang terkait dengan penerapan Arc. Karena itu, masih ada beberapa metode tidak langsung yang dapat memungkinkan kita menentukan apakah Arc digunakan dan bahkan sistem apa yang kemungkinan diinstal yang dapat diidentifikasi oleh pengguna Entra yang tidak memiliki hak istimewa. Dengan berjalan melalui langkah-langkah proses penerapan di atas, ada beberapa titik di mana objek ditambahkan atau dimodifikasi dalam Microsoft Entra yang dapat diamati untuk menentukan apakah Arc digunakan dalam penyewa.
Pertama, ketika langganan di penyewa Azure dikonfigurasi dengan Penyedia Sumber Daya yang diperlukan untuk Arc (misalnya, Microsoft.HybridCompute), dua Service Principal berjudul Arc Token Service dan Arc Public Cloud – Servers akan dibuat. Ini tidak selalu berarti bahwa Arc sebenarnya telah digunakan dalam suatu organisasi, tetapi setidaknya satu langganan di penyewa telah dikonfigurasi sedemikian rupa sehingga layanan akan didukung. Contohnya dapat dilihat di bawah ini di penyewa Azure baru, sebelum dan sesudah mengonfigurasi Penyedia Sumber Daya yang diperlukan untuk Arc.
Melanjutkan proses penerapan, Service Principal digunakan untuk menggabungkan perangkat ke Arc, seperti yang diuraikan dalam proses penerapan yang dibahas di bagian sebelumnya. Ini bisa berupa Service Principal yang sudah ada sebelumnya yang secara manual telah memiliki peran RBAC yang diperlukan yang ditugaskan padanya, atau Service Principal yang dibuat secara otomatis yang dibuat melalui antarmuka penerapan Arc. Jika administrator membuat Service Principal secara langsung melalui Arc, itu secara otomatis dikonfigurasi dengan tag AzureArcSPN oleh Azure, yang dapat dicari oleh pengguna Entra yang tidak memiliki hak istimewa baik langsung dari baris perintah Azure atau dari dalam hasil koleksi dari ROADRecon dan AzureHound. Meskipun sekali lagi tidak memberikan bukti konkret bahwa Arc sebenarnya telah diterapkan, Prinsip Layanan yang dikonfigurasi dengan cara ini akan menunjukkan bahwa administrator di penyewa ini setidaknya telah berinteraksi dengan langkah-langkah proses penerapan Arc. Contoh pembuatan Service Principal melalui Arc, serta data tag yang dapat diidentifikasi yang dihasilkan yang dikumpulkan oleh RoadRecon, dapat dilihat di bawah ini.
Terakhir, ketika sebuah sistem ditambahkan ke Arc, sebuah Managed Identity dibuat dalam Entra untuk mesin tersebut dan dapat diberikan peran, baik di Entra maupun Azure seperti Service Principal lainnya. Karena managed identity ini ada di dalam Entra, secara default, principal yang tidak memiliki hak istimewa dapat mengidentifikasi sistem yang ditambahkan ke Arc dengan memfilter data pengintaian Azure yang dikumpulkan untuk mencari perangkat dengan ResourceID yang berisi Microsoft.HybridCompute (perhatikan bahwa ini berbeda dari perangkat gabungan hybrid dalam Entra dan seharusnya tidak menghasilkan positif palsu). Jika Anda memiliki akses ke baris perintah Azure, proses ini cukup mudah, menggunakan perintah berikut:
String ResourceID yang panjang ini juga memiliki manfaat tambahan berisi ID langganan dan grup sumber daya yang dikaitkan dengan sistem, memungkinkan identifikasi beberapa penerapan Arc yang mencakup lingkungan yang berbeda.
Atau, jika Anda telah mengumpulkan data Azure melalui ROADrecon atau AzureHound, Anda dapat mengurai hasil tersebut untuk mengidentifikasi objek yang dikelola ARC. Dalam ROADrecon, informasi terkait disimpan dalam ResourceID, dan dalam file koleksi AzureHound JSON, informasi yang sama disimpan dalam atribut AlternativeNames. Meskipun tampaknya atribut ini tidak disalin ke BloodHound atau sebaliknya tidak dapat diakses secara langsung, mencari file JSON secara langsung dapat memungkinkan pemulihan daftar lengkap objek yang dikelola.
Indikator penerapan Arc on premises termasuk dalam salah satu dari dua kategori: localhost dan jaringan. Ketika klien Arc diinstal pada sebuah sistem, itu akan membuat folder C:\Program Files\ AzureConnectedMachineAgent, yang berisi semua file relevan terkait klien Arc. Kehadiran folder ini, serta proses dan layanan terkait ARC (misalnya, gc_arc_service.exe atau arcproxy.exe), dapat memberikan beberapa hal mudah untuk diperiksa. Selain itu, berdasarkan mekanisme penerapan yang digunakan untuk mendorong klien Arc ke sistem di jaringan, mungkin ada beberapa hal tambahan yang dapat dicari. Misalnya, jika Arc diterapkan melalui GPO, proses penyiapan menghasilkan GPO yang dibuat secara otomatis bernama [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
Jadi, jika kita telah mengidentifikasi bahwa Arc digunakan di suatu lingkungan, bagaimana kita mendapatkan akses ke sana? Untuk menjawab pertanyaan itu, penting untuk terlebih dahulu memahami secara spesifik jenis akses apa yang kita cari. Karena tujuan akhir utama akses biasanya adalah untuk mengeksekusi kode pada titik akhir yang dikelola, bekerja mundur dari izin yang memungkinkan eksekusi kode ke peran Azure yang memberikan izin tersebut dapat memberikan titik awal yang baik untuk akun dan peran yang mungkin kita cari. Melihat kembali riset sebelumnya dari Benedikt Strobl di NSIDE Attack Logic, kita melihat bahwa kita dapat menjalankan kueri PowerShell yang akan mendapatkan semua peran yang memberikan izin yang memungkinkan setidaknya satu mekanisme eksekusi kode melalui Arc (lebih lanjut tentang spesifikasi mekanisme ini di bagian berikutnya). Kueri dan output yang dihasilkan dapat dilihat di bawah ini:
Selain beberapa peran aneh yang menonjol, seperti Log Analytics Contributor, salah satu yang paling menarik adalah peran Azure Connected Machine Resource Administrator. Jika Anda ingat dari bagian proses penerapan Azure Arc sebelumnya, ini adalah salah satu peran yang dapat ditetapkan ke Service Principal yang dibuat selama proses penerapan Arc.
Ini pada dasarnya menempatkan Service Principal penerapan, yang karena kebutuhannya memiliki kemungkinan besar rahasianya akan dapat diakses di jaringan on premises, hanya sejauh satu kotak centang saja (kotak centang yang tidak memiliki peringatan atau konteks tambahan tentang risiko) untuk memiliki hak admin dalam Arc. Service Principal dengan peran administratif ini yang secara tidak sengaja ditetapkan selama pembuatan tidak hanya dapat digunakan untuk mendaftarkan klien Arc baru di dalam Azure tetapi juga menjalankan perintah pada klien Arc yang diinstal. Kesalahan yang wajar inilah yang kami identifikasi dan manfaatkan selama penilaian terbaru kami, memungkinkan kami untuk meningkatkan hak istimewa melalui Arc dan mengambil alih lingkungan on premises klien.
Service Principal penerapan ini tampaknya menjadi target awal yang cukup baik, terutama jika Anda tidak memiliki hak istimewa yang diperlukan untuk mengambil daftar akun lain dengan peran tercatat lainnya yang memberikan eksekusi kode yang ditetapkan kepadanya. Tetapi bagaimana cara mendapatkan akses? Pertama, dan mungkin yang paling langsung, jika Anda memiliki jalur dalam Entra untuk mendapatkan akses ke sebuah Service Principal yang terkait dengan Arc melalui menambahkan rahasia ke dalamnya, (misalnya, pemilik Service Principal, Application Administrator, dll.) Anda dapat langsung memodifikasi objek dan kemudian menggunakannya untuk autentikasi, yang berpotensi memungkinkan Anda untuk mendapatkan akses istimewa ke Arc. Di luar ini, mekanisme penerapan yang digunakan Arc juga dapat salah dikonfigurasi atau memungkinkan eskalasi lewat pemulihan rahasia Service Principal penerapan. Selanjutnya kita akan melihat masing-masing dari empat mekanisme penerapan perusahaan utama yang didukung oleh Arc untuk mengidentifikasi jalur eskalasi potensial untuk diperiksa.
Metode penerapan default dan paling dasar untuk Arc adalah melalui mengunduh skrip PowerShell yang dibuat secara otomatis yang dapat dijalankan oleh admin TI di beberapa sistem. Skrip ini menarik penginstal MSI yang relevan dari situs web Microsoft dan kemudian melakukan konfigurasi tindak lanjut untuk menghubungkan klien yang diinstal ke penyewa Azure yang tepat. Yang agak lucu, mekanisme autentikasi default yang didukung dalam skrip yang dibuat secara otomatis ini adalah untuk melakukan hardcode pada rahasia Service Principal yang digunakan untuk penerapan ke dalam skrip.
Karena mekanisme penerapan ini sangat mudah, tidak banyak yang perlu dilakukan untuk mendapatkan akses selain mengawasi selama pengintaian berbagi file normal untuk skrip PowerShell dengan nama skrip default OnboardingScript.ps1, serta skrip dengan nama atau konten yang terkait dengan Arc.
Memilih Configuration Manager untuk penerapan menghasilkan skrip PowerShell yang identik dengan yang di atas, dengan perbedaan utama adalah bahwa Arc memberikan panduan tambahan tentang cara menerapkan skrip secara langsung melalui System Center Configuration Manager (SCCM) Microsoft, baik melalui skrip langsung yang dijalankan atau sebagai urutan tugas.
Meskipun ini adalah dua mekanisme yang direkomendasikan untuk penerapan, admin TI dapat menggunakan beberapa mekanisme penerapan lain melalui SCCM, seperti paket atau instalasi aplikasi. Terlepas dari opsi penerapan yang digunakan, penting untuk mengingat konsep koleksi dalam SCCM, yang berfungsi sebagai ruang lingkup target untuk penerapan urutan tugas dan skrip (opsional). Mencoba memulihkan data SCCM dari host acak di lingkungan kemungkinan tidak akan menghasilkan hasil yang bagus karena jika host bukan anggota koleksi yang sesuai, itu tidak akan dapat mengambil informasi terkait dalam banyak kasus. Sebaliknya, pertama-tama bergerak secara lateral ke host yang telah diidentifikasi sebagai klien Arc (atau bahkan lebih baik, SCCM Management Point atau server database) dan kemudian melakukan pengintaian SCCM kemungkinan akan memberikan hasil yang lebih baik.
SCCM Configuration Manager berisi fungsionalitas yang memungkinkan admin menjalankan skrip PowerShell pada sistem terkelola. Skrip tidak ditarik oleh klien SCCM dengan cara yang sama seperti urutan tugas atau paket; melainkan, didorong keluar dari server sesuai permintaan ke sistem klien. Untuk mengujinya, kita dapat membuat skrip sederhana di SCCM Configuration Manager menggunakan skrip penerapan Arc yang dibuat secara otomatis. Kita akan membiarkan rahasia tidak terisi untuk saat ini, karena sistem yang kita gunakan sudah menginstal Arc di atasnya.
Ketika skrip diterapkan melalui SCCM, itu akan disalin ke direktori C:\Windows\CCM\ScriptStore pada sistem klien dan dikonfigurasi dengan Discretionary Access Control List (DACL) yang membatasi akses hanya ke NT_AUTHORITY\SYSTEM, sebelum dijalankan oleh klien SCCM. File dalam folder ini dibersihkan secara berkala berdasarkan konfigurasi khusus instans, tetapi ada baiknya untuk memeriksa skrip ini atau skrip lain yang mungkin berisi data sensitif.
Atau, jika Anda mendapatkan akses ke database SCCM, Anda bisa langsung memulihkan semua skrip yang dibuat di SCCM menggunakan modul ScriptData di SQLRecon. Contoh output dari menjalankan modul itu terhadap database situs untuk instans SCCM yang dikonfigurasi dengan skrip untuk menerapkan Arc dapat dilihat di bawah ini.
Secara realistis, penerapan melalui skrip SCCM kemungkinan tidak terjadi dalam praktiknya, karena eksekusi skrip SCCM adalah proses yang dilakukan pada titik waktu tertentu. Jika server baru dibawa online dan perlu ditambahkan ke Arc kapan saja di masa mendatang, admin harus ingat untuk masuk lagi dan menjalankan kembali skrip untuk menerapkannya ke sistem tambahan.
Proses penerapan yang lebih otomatis dan dapat diskalakan akan melalui urutan tugas yang diterapkan ke koleksi SCCM. Untuk menguji mekanisme ini, kita dapat membuat urutan tugas sederhana yang menjalankan skrip penerapan Arc dan menerapkannya ke koleksi SCCM yang berisi sistem yang kita jalankan.
Setelah menerapkan skrip ini, kita dapat menjalankan perintah get secrets di SharpSCCM untuk memulihkan urutan tugas yang dapat diakses yang berisi skrip, karena kebijakan yang berisi skrip memiliki flag rahasia yang ditambahkan padanya.
Properti SourceScript dalam kebijakan terkait berisi representasi b64 dari skrip asli yang diteruskan. Mengonversi kembali ke plaintext memungkinkan kita memulihkan skrip asli.
Demikian pula dengan opsi yang tersedia saat memulihkan skrip, jika kita memiliki akses ke database situs SCCM, kita juga dapat langsung memulihkan data urutan tugas menggunakan SQLRecon.
Penerapan Arc melalui Group Policy sedikit lebih rumit daripada dua mekanisme sebelumnya dan terdiri dari beberapa langkah yang dimulai dengan menyiapkan berbagi jaringan yang dapat diarahkan oleh skrip, yang dijalankan melalui Group Policy Object (GPO). Panduan resmi dengan membantu menyatakan bahwa semua komputer domain harus memiliki akses baca+tulis ke berbagi ini, yang berarti bahwa jika penerapan ini digunakan, rahasia Service Principal harus dapat dipulihkan dari konteks NT_AUTHORITY\SYSTEM apa pun di domain.
Setelah mengatur berbagi dan mengunduh+menyalin melalui klien Arc MSI, langkah selanjutnya melibatkan mengunduh repo GitHub yang berisi skrip PowerShell dan DLL terkait yang digunakan untuk membuat GPO secara otomatis.
Akhirnya, skrip PowerShell yang memanggil file yang diunduh dari GitHub dihasilkan, dengan argumen berdasarkan lokasi penerapan Arc yang telah diatur sebelumnya.
Menjalankan skrip PowerShell yang dihasilkan ini akan menyebabkan GPO dibuat, yang membuat tugas terjadwal yang menginstal klien Arc menggunakan file yang dihosting di berbagi jaringan penerapan dan menghubungkannya ke Azure. GPO ini selanjutnya dapat ditautkan ke Unit Organisasi (OU) yang berisi sistem untuk menerapkan Arc.
Jika GPO yang cocok dengan konvensi penamaan ini diidentifikasi selama proses pengintaian Active Directory standar, file GPO dapat ditinjau untuk menentukan lokasi berbagi jaringan yang berisi file penerapan.
Dengan semacam akses dalam konteks NT_AUTHORITY\ SYSTEM, pembagian ini dapat dijelajahi dari jarak jauh (jika dibuat dengan akses default/rekomendasi MS), yang akan terlihat seperti berikut:
Yang paling menarik adalah file encryptedServicePrincipalSecret yang sangat mencolok. Melihat skrip EnableAzureArc.ps1 menunjukkan bahwa rahasia tersebut adalah sebuah blob yang dienkripsi menggunakan DPAPI-NG.
DPAPI-NG (atau Cryptographic Next Generation [CNG] DPAPI) memungkinkan tidak hanya untuk fungsi enkripsi dan dekripsi DPAPI khusus pengguna atau mesin tetapi juga memungkinkan untuk operasi berdasarkan keanggotaan suatu objek. Misalnya, dalam contoh ini, blob DPAPI-NG dalam encryptedServicePrincipalSecret dikonfigurasi untuk mengizinkan setiap anggota grup komputer domain untuk mendekripsinya. Saya mengumpulkan skrip PowerShell super sederhana sebagai bukti konsep, tetapi seharusnya cukup mudah untuk menerjemahkan kode dari AzureArcDeployment.psm1 (yang pada dasarnya hanyalah pembungkus di sekitar kode.NET) menjadi sebuah rakitan yang dapat dijalankan langsung di memori pada sebuah beacon dalam konteks NT_AUTHORITY\ SYSTEM untuk memulihkan dan mendekripsi rahasia tersebut.
Terakhir, semua info koneksi terkait lainnya, seperti ID Prinsip Layanan, ID Langganan, dll., Dapat ditemukan di file ArcInfo.json yang juga terletak di pembagian penerapan yang sama.
Opsi penerapan resmi terakhir menghasilkan playbook Ansible yang sangat mirip dengan skrip PowerShell yang dibahas di atas. Spesifikasi mengenai cara menyerang Ansible akan sangat bervariasi berdasarkan pengaturan dan lingkungan, dan sebagai hasilnya, kami tidak akan membahas lebih jauh tentang mekanisme penerapan ini.
Sementara Arc mendukung pengelolaan host Linux, metode penerapan yang tersedia langsung di Arc blade di Azure sangat condong ke perangkat berbasis Windows. Penerapan Linux didukung melalui penggunaan skrip bash, tetapi mirip dengan penerapan Ansible, mereka kemungkinan akan memiliki tingkat variasi yang jauh lebih tinggi di dalamnya ketika diterapkan di seluruh lingkungan perusahaan.
Selanjutnya, mari kita asumsikan bahwa kita telah berhasil memulihkan rahasia untuk Prinsip Layanan, dan bahwa Prinsip Layanan ini (atau akun lain yang telah dipulihkan) memiliki hak eksekusi di dalam Arc. Karena seluruh tujuan Arc adalah untuk mengekspos perangkat on premises ke bidang kontrol Azure, berbagai primitif eksekusi kode yang biasanya terkait dengan Azure VM masuk ke ruang lingkup untuk mendapatkan akses ke host on premises yang memiliki klien Arc yang terinstal. Namun, tetap fokus pada jalur eksekusi yang hanya memerlukan izin khusus ARC yang disebutkan di atas memberikan dua kategori besar tindakan eksekusi, menjalankan perintah dan penambahan/modifikasi ekstensi. Kedua vektor eksekusi berfungsi cukup identik dengan eksekusi yang setara terhadap VM Azure dan telah didokumentasikan panjang lebar oleh orang lain di blog/tooling sebelumnya, jadi kami tidak akan terlalu membahasnya secara spesifik di luar penggunaan operasional dan beberapa kebiasaan rapi yang tidak didokumentasikan secara luas.
Perintah run adalah semacam pseudo-ekstensi yang memiliki banyak karakteristik dalam disk dan spesifikasi pohon eksekusi yang mirip dengan ekstensi lain tetapi secara otomatis diinstal bersama Arc dan tidak muncul dalam daftar ekstensi yang diinstal pada sistem yang dikelola. Kemampuan ini memungkinkan cara langsung untuk menjalankan perintah pada klien yang dikelola melalui Arc, dengan prasyarat utama adalah bahwa versi klien harus > = 1.33. Anda dapat memverifikasi hal ini dengan perintah az connectedmachine show, seperti yang ditunjukkan di bawah ini.
Perhatikan bahwa mencoba menjalankan perintah melalui baris perintah az (CLI) tidak hanya memerlukan izin tulis yang disebutkan sebelumnya tetapi juga hak baca pada grup sumber daya, yang secara default tidak akan dimiliki oleh Service Principal yang dibuat secara otomatis. Akibatnya, mencoba menjalankan perintah langsung dari az CLI akan menghasilkan kesalahan.
Ini dapat dilewati dengan berinteraksi dengan Azure REST API secara langsung, meskipun tidak mungkin untuk mengambil output dari perintah yang dieksekusi. Dalam contoh ini, kita akan membuat run job bernama run-notepad yang baru saja memulai notepad.exe pada sistem klien.
Perintah yang diteruskan ditulis ke skrip PowerShell di folder C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, dengan nama yang sesuai dengan nama pekerjaan yang dijalankan seperti yang dibuat dalam Arc dan akhirnya dijalankan dalam konteks NT_AUTHORITY\SYSTEM.
Skrip PowerShell ini tidak secara otomatis dihapus pada akhir eksekusi, meskipun eksekusi tambahan dari pekerjaan yang dijalankan dengan nama yang sama akan menyebabkan skrip asli dihapus dan skrip baru dibuat dengan akhiran berulang, seperti yang terlihat di bawah ini.
Selain skrip ini, beberapa file lain dibuat pada disk selama setiap eksekusi perintah run. Ini akan dibahas secara lebih mendalam di bagian Panduan defensif.
Selain itu, perlu diingat bahwa perintah run membuat objek dalam Azure yang kemudian perlu dihapus setelah eksekusi selesai. Karena tindakan ini tidak dibaca di tingkat grup sumber daya, tindakan ini dapat dijalankan langsung melalui az CLI.
Klien Arc dapat meningkatkan fungsionalitasnya melalui pemasangan berbagai ekstensi yang disetujui Microsoft, mirip dengan VM Azure. Ekstensi yang paling sering disalahgunakan adalah Ekstensi Skrip Kustom (CSE) untuk Windows, yang memungkinkan eksekusi perintah arbriter maupun pengunduhan file dari internet. Namun, ekstensi lain menawarkan pohon eksekusi berbeda yang dapat membantu menghindari deteksi statis yang berfokus pada eksekusi CSE. Selanjutnya kita akan melihat kedua eksekusi melalui CSE, serta ekstensi Windows Admin Center.
Dengan asumsi Anda menjalankan dalam konteks Service Principal yang disediakan dengan peran Azure Connected Machine Resource Administrator dalam langganan dengan pengaturan default, Anda sekali lagi perlu mengirim perintah melalui REST API Azure. Sebelum eksekusi, satu peringatan eksekusi berbasis ekstensi adalah bahwa hanya satu salinan ekstensi yang dapat diterapkan ke host pada waktu tertentu, yang berarti bahwa jika CSE telah ditambahkan ke host yang ditargetkan, Anda perlu memperbarui ekstensi yang ada, alih-alih membuat ekstensi baru. Daftar ekstensi yang saat ini diinstal pada host dapat diambil dari az CLI dengan yang berikut:
Dalam hal ini belum ada ekstensi yang diinstal pada host ini:
Sekumpulan arg diperlukan saat membuat CSE, yang paling penting adalah protectedSettings arg, karena berisi atribut opsional commandToExecute. Tepatnya, atribut ini adalah tempat arg eksekusi perintah ditempatkan. Contoh perintah az CLI yang dapat dijalankan terhadap REST API untuk membuat CSE yang meluncurkan Notepad dapat dilihat di bawah ini:
Menjalankannya sekali lagi akan menghasilkan eksekusi dalam konteks NT_AUTHORITY\SYSTEM.
Setelah CSE dibuat, Anda juga dapat memeriksa lebih lanjut status saat ini melalui REST API, menggunakan perintah yang diformat sebagai berikut:
Menjalankan ini, kita dapat melihat bahwa penerapan CSE tetap dalam status eksekusi sampai proses yang diluncurkannya dihentikan pada sistem klien.
Penting untuk mengingat perilaku ini karena ekstensi tidak dapat dihentikan paksa, bahkan dengan mencoba menghapus CSE. Ini berarti jika Anda meluncurkan CSE yang menghasilkan proses yang berjalan lama yang tidak memberi Anda akses ke sistem, dan Anda tidak memiliki mekanisme lain (seperti menjalankan perintah) yang memungkinkan Anda untuk mematikan proses, Anda berpotensi mengunci diri dari eksekusi CSE lebih lanjut sampai kotak di-boot ulang. Selain itu, jika Anda menggunakan CSE sebagai mekanisme untuk menerapkan beacon C2, disarankan untuk bermigrasi keluar dari proses asal sehingga Anda dapat membersihkan objek CSE.
Selanjutnya, katakanlah kita ingin melakukan sesuatu yang sedikit lebih maju dengan eksekusi CSE kita daripada hanya menjalankan Notepad. Ada beberapa opsi untuk memperbarui CSE kami saat ini, dan kami dapat memperbarui di tempat atau menghapus ekstensi CSE dan menerapkannya kembali. Memperbarui di tempat lebih sederhana tetapi bergantung pada eksekusi CSE sebelumnya dalam beberapa bentuk status selesai (misalnya, berhasil, gagal) sebelum dijalankan. Untuk memperbarui CSE yang sudah ada, Anda cukup memodifikasi dan mengirimkan kembali perintah asli yang Anda berikan ke REST API untuk membuatnya, mengubah nilai atribut commandToExecute menjadi perintah apa pun yang diperbarui. Ini memiliki manfaat tambahan untuk mempertahankan struktur folder CSE pada sistem klien di antara eksekusi.
Saya telah menemukan bahwa dalam beberapa kasus, CSE dapat digantung dalam status Creating (Membuat), bahkan ketika proses yang telah dieksekusi tidak lagi berjalan di sistem klien. Cara terbaik yang saya temukan untuk mengidentifikasi status ini adalah dengan memeriksa daftar ekstensi pada host yang terpengaruh, yang dapat diprediksi akan menampilkan host dalam provisioningState Creating, tetapi jika proses sebenarnya masih dijalankan melalui host, Anda juga akan mencatat pesan status yang menunjukkan bahwa eksekusi sedang terjadi.
Jika Anda menemukan CSE Anda dalam status “Membuat, tetapi tidak benar-benar berjalan” ini, pendekatan terbaik adalah menghapusnya sepenuhnya (jika Anda yakin proses yang Anda jalankan dengannya tidak lagi berjalan), yang dapat dilakukan dengan perintah berikut:
Mencoba menghapus CSE saat eksekusi yang mendasarinya masih berjalan (misalnya, beacon https yang berjalan sebagai NT_AUTHORITY\SYSTEM yang tidak dapat melakukan egress karena kontrol proxy) tidak akan menghentikan proses, juga tidak akan menyebabkan CSE menghapus dirinya sendiri. Sebaliknya, hal itu dapat menyebabkan ekstensi CSE terjebak dalam status Deleting (Penghapusan) tanpa batas waktu, dengan satu-satunya perbaikan penuh yang saya identifikasi adalah dengan menghapus objek induk Identitas Hibrida dari Azure, menghapus instalasi klien Arc dari sistem terkelola, dan menginstal ulang semuanya. Kedengarannya menakutkan, tetapi begitu saya menemukan ini, hanya butuh lima menit untuk membuat semuanya berjalan kembali.
Satu hal lain yang perlu diingat tentang menghapus CSE: proses penghapusan menghapus folder C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension dari disk sistem klien, menghapus file apa pun yang mungkin telah Anda unggah atau modifikasi dalam struktur itu. Selain itu, dibutuhkan tiga hingga lima menit untuk memproses perintah hapus CSE di Azure; ini normal.
Salah satu hal menarik yang dapat dilakukan CSE selain menjalankan perintah adalah mengunduh file dari Internet. Array file dapat ditentukan di bawah pengaturan arg di attrib fileUris, yang memungkinkan untuk mengunduh file ke folder C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\ [version]\ Downloads\ [iterator]. Struktur folder ini tetap ada sampai CSE dihapus di dalam Azure, di mana semua yang terkait dengan ekstensi CSE dihapus dari disk. Ini berarti Anda dapat membuat skrip yang akan menyalin file dari folder ini ke tempat lain di disk, memungkinkan mekanisme penyelundupan file yang tidak bergantung pada cradle unduhan web tradisional. Karena file-file ini bertahan setelah dipindahkan ke luar direktori default, mereka dapat disalin dan kemudian dijalankan dengan CSE berikutnya dari tempat lain pada disk, merusak deteksi statis yang bergantung pada identifikasi eksekusi dari folder unduhan CSE yang dicatat sebelumnya.
Saat membuat logika yang lebih maju seperti ini, yang mungkin berhasil atau mungkin tidak, juga akan membantu untuk mendapatkan output yang menunjukkan apakah eksekusi berhasil atau tidak. Meskipun kita tidak dapat secara langsung memulihkan output dari eksekusi CSE, kode keluar dikembalikan, yang berarti bahwa kita dapat menyertakan percabangan bersyarat dalam kode kita yang keluar dengan kode tertentu berdasarkan status program saat ini (misalnya, penyalinan file yang berhasil). Dengan menggabungkan semua elemen ini, mari kita susun demo yang sangat artifisial yang melakukan hal berikut:
Skrip PowerShell sederhana yang menyelesaikan hal-hal ini akan terlihat seperti:
Saat memformat ini dengan semua karakter escape yang diperlukan untuk memungkinkan skrip ini diteruskan dalam blob JSON melalui az REST API, kami mendapatkan perintah yang terlihat seperti berikut:
Kami menjalankan hal di atas, dan setelah menunggu satu menit agar eksekusi selesai, kami dapat memeriksa statusnya dengan perintah az connectedmachine extension list. Menjalankan ini menunjukkan bahwa kita mendapat kode keluar 10 kembali, menunjukkan eksekusi yang berhasil. Pesan kesalahan adalah pesan umum yang menunjukkan kode pengembalian bukan nol, yang tidak menjadi perhatian kami.
Memeriksa sistem jarak jauh, kami juga dapat memverifikasi bahwa file telah berhasil disalin.
Seperti yang bisa kita lihat, kode ini mulai menjadi rumit dengan cukup cepat. Untuk menyederhanakan lebih lanjut, Anda juga dapat mengunduh skrip PowerShell dengan menambahkannya ke array fileUris dan kemudian memanggilnya dari atribut commandToExecute.
Sebelum kita pindah, izinkan saya berbagi satu ide terakhir tentang bagaimana Anda dapat meningkatkan kerahasiaan teknik ini dengan mengubah sidik jari eksekusinya. Jika Anda ingat dari peluncuran proses awal kami melalui CSE, cmd.exe muncul di bagian atas pohon eksekusi, tanpa proses induk yang mudah terlihat.
Melihat proses cmd.exe paling atas ini menunjukkan ID Proses (PID) induk 5068 yang sebenarnya tidak ada.
Kita dapat menggali lebih jauh dengan Process Monitor, menunjukkan ID Proses Induk (PPID) misteri kita dari 5068 adalah contoh lain dari cmd.exe, yang membuat pohon proses kita saat ini melalui panggilan cmd/c. Proses cmd misterius ini sendiri dihasilkan oleh gc_extension_service.exe di PID 3588 melalui menjalankan skrip enable.cmd.
Mengapa semua ini penting? Nah, saat ini, kami memiliki pohon eksekusi yang cukup statis dari gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [apa pun yang kami jalankan melalui CSE]. Jika kita bisa masuk lebih tinggi dalam rantai itu, kita dapat melewati deteksi yang berfokus pada eksekusi mencurigakan yang berasal dari struktur pohon proses yang sudah dikenal itu. Seperti file .cmd ini hanyalah skrip yang tidak ditandatangani yang dijalankan oleh NT_AUTHORITY\SYSTEM dari lokasi yang diketahui sebagai hasil dari peristiwa yang kita kontrol (membuat atau memodifikasi CSE), dimungkinkan untuk memodifikasi skrip ini untuk mengarahkan alur eksekusi standar untuk langsung memanggil proses pilihan kita. Dengan asumsi satu-satunya vektor eksekusi kami di host adalah melalui Arc, itu memang menghadirkan sedikit masalah ayam dan telur, karena kami perlu mengeksekusi melalui pohon proses yang diketahui untuk memodifikasi file ini. Namun, melakukan modifikasi teks pada file yang tidak ditandatangani memiliki profil deteksi yang jauh lebih rendah jika dibandingkan dengan tindakan pasca-eksploitasi umum lainnya. Saya tidak akan membahas secara spesifik lebih lanjut tentang modifikasi ini (atau modifikasi serupa lainnya yang dapat dilakukan pada ekstensi lain), tetapi hanya ide tentang sesuatu yang menarik yang dapat Anda lakukan.
Sampai saat ini, kami telah berfokus pada serangan yang dimungkinkan menggunakan REST API non-interaktif dari sudut pandang Service Principal dengan penyediaan berlebih yang dikonfigurasi dengan peran Azure Connected Machine Resource Administrator. Namun, jika kita memiliki akun yang memiliki akses Antarmuka Pengguna Grafis (GUI) web, ruang lingkup apa yang dapat dilakukan meningkat secara substansif. Ada berbagai ekstensi yang dapat didorong ke klien terkelola dan membuka jalan baru eksekusi kode, tetapi ketika saya mencari-cari di dalam Arc, salah satu yang akhirnya paling menarik perhatian saya adalah Windows Admin Center (WAC). Arc dapat menerapkan komponen manajemen back-end dari Windows Admin Center, alat manajemen jarak jauh mandiri yang dirilis oleh Microsoft, melalui ekstensi Arc. Tidak mungkin untuk berinteraksi langsung dengan ekstensi ini melalui Azure REST API sejauh pengetahuan saya, tetapi berbagai opsi manajemen sistem diekspos melalui GUI setelah diterapkan ke klien.
Setelah ekstensi WAC (lol) diinstal pada sistem yang dikelola ARC, ekstensi tersebut dapat diakses langsung melalui portal Arc dengan menelusuri ke perangkat yang dikelola, dengan asumsi Anda memiliki peran yang sesuai yang ditetapkan (atau dapat menetapkannya sendiri).
Dengan akses yang sesuai dikonfigurasi, Anda dapat terhubung ke antarmuka manajemen dan mengeksekusi kode melalui berbagai mekanisme yang berbeda, termasuk pembuatan proses, pembuatan/modifikasi tugas terjadwal, modifikasi layanan dan modifikasi registri. Saya tidak akan membahas secara spesifik masing-masing, tetapi akan dengan cepat membahas pembuatan proses sebagai contoh yang menunjukkan beberapa keunikan saat melakukan eksekusi melalui WAC.
Pembuatan proses mungkin merupakan cara paling mudah untuk menjalankan kode melalui WAC, cukup masukkan proses untuk memulai (dengan args opsional) dan klik Go.
Menariknya, ini berjalan dalam konteks akun virtual (WAC_[nama pengguna azure Anda]), tetapi dalam konteks integritas tinggi dengan hak istimewa token penuh, seperti yang dapat dilihat dengan menyalurkan whoami /priv ke file teks pada disk.
Prosesnya sendiri muncul sebagai anak dari WmiPrvSe.exe, pohon proses yang dikenal bagi mereka yang akrab dengan gerakan lateral melalui Process.Create. Ketika perintah dijalankan dengan cara ini, akun virtual memiliki folder pengguna yang dibuat untuknya di disk, meninggalkan lebih banyak IOC yang harus dibersihkan. Tapi itu mudah untuk digunakan!
Selain vektor eksekusi kode ini, ada berbagai fitur manajemen lainnya seperti penelusuran file grafis dan berbagi file, fitur yang harus dimiliki untuk C2 kelas perusahaan Anda sendiri.
WAC juga memiliki panel kontrol VM, yang memungkinkan untuk instalasi Hyper-V pada sistem yang dikelola, dan selanjutnya untuk penerapan dan pengelolaan VM.
Fitur ini awalnya terlihat sangat menjanjikan, tetapi saya mengalami masalah terlebih dahulu ketika mencoba mencari cara menerapkan file ISO ke host. Browser file dalam WAC memiliki fungsionalitas unggahan bawaan, tetapi sayangnya memiliki batas ukuran unggahan yang cukup rendah. Ini berarti mekanisme fallback perlu diimplementasikan untuk mendapatkan ISO yang sesuai pada sistem untuk membangun VM. Masalah selanjutnya ditemukan yang kemungkinan juga akan muncul di lingkungan perusahaan mengenai virtualisasi bersarang. Karena banyak sistem di lingkungan perusahaan biasanya divirtualisasi, Intel VT-x/AMD-V perlu diaktifkan pada sistem untuk memungkinkan virtualisasi bersarang.
Akhirnya, dengan semua fitur manajemen yang tersedia ini, banyak serangan menarik yang dapat Anda lakukan melalui penggantian file atau modifikasi untuk membajak hal-hal yang dilakukan Arc/WAC di latar belakang untuk lebih menyamarkan tindakan pasca-eksploitasi. Ingat, ini hanyalah salah satu dari banyak ekstensi yang tersedia yang tersedia untuk menerapkan ke klien yang dikelola ARC; vektor eksekusi kode serupa tidak diragukan lagi ada di ekstensi lain yang mungkin menawarkan fungsionalitas lebih lanjut.
Perhatikan bahwa WAC melakukan instalasi mandiri sendiri dan dengan demikian secara signifikan memperluas jejak dalam disk dan persyaratan pembersihan yang terkait dengan kompromi. Selain itu, tindakan yang dijalankan dalam konteks akun WAC_ akan menghasilkan tindakan pada disk tambahan seperti folder pengguna yang sedang dibuat, meskipun tidak ada profil pengguna lokal yang dibuat untuk akun tersebut. Dengan demikian, sementara ini berfungsi sebagai cara menarik yang membuka banyak vektor eksekusi kode, itu mungkin sesuatu yang akan saya hindari pada server sangat penting.
Katakanlah Anda memulihkan rahasia Service Principal, tetapi telah disediakan dengan benar untuk hanya memungkinkan orientasi sistem. Mungkin masih bermanfaat untuk mencoba mengintegrasikan sistem yang Anda kendalikan untuk melihat apakah ada instalasi atau konfigurasi otomatis yang berisi kredensial tambahan didorong ke hilir ke sistem Anda.
Ini adalah topik yang belum pernah saya lihat hingga blog Andy Gill baru-baru ini tentang penggunaan Arc sebagai mekanisme C2. Arc sangat bagus karena merupakan produk Microsoft yang sah dan berkomunikasi langsung kembali dengan titik akhir API terkenal di dalam Azure, yang berarti biasanya diabaikan oleh produk Deteksi dan Respons Titik Akhir (EDR). Meskipun saya tidak merekomendasikan mencoba beroperasi melalui Arc, ini berfungsi sebagai mekanisme out-band yang menarik untuk persistensi fallback dalam suatu lingkungan. Bahkan jika host bergabung secara hybrid ke lingkungan Entra, tidak ada persyaratan untuk terhubung ke instans Arc yang dihosting di penyewa yang sama. Intinya, ini berarti bahwa jika Anda memiliki konteks integritas tinggi pada host yang belum dikelola melalui Arc, Anda dapat menerapkan klien Arc Anda sendiri dan mengelolanya melalui penyewa Azure Anda sendiri.
Karena blog Andy telah merinci dengan baik penggunaan Arc secara keseluruhan untuk persistensi, saya hanya akan menambahkan poin kecil untuk operasionalisasi ketika akses berbasis GUI tidak memungkinkan (seperti apa yang biasa terjadi saat beroperasi melalui agen C2). Ulasan skrip penerapan, proses instalasi klien Arc sebagian besar terdiri dari dua bagian: instalasi klien sebenarnya melalui penginstal MSI, dan menghubungkan klien yang diinstal ke penyewa Azure melalui argumen baris perintah yang diteruskan ke Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Kedua langkah dalam proses ini dapat diselesaikan baik secara lokal maupun jarak jauh (dengan metode eksekusi kode gerakan lateral pilihan Anda) dari konteks baris perintah non-interaktif, dengan menggunakan sintaksis kasar:
1.
2.
Setelah terhubung, sistem akan muncul di dalam blade Arc di penyewa Azure Anda, dan Anda dapat menggunakan az CLI, az REST API, atau GUI untuk melakukan tindakan di atasnya. Sekarang setelah klien Arc terhubung ke penyewa yang Anda kendalikan penuh, ada juga beragam opsi yang tersedia untuk eksekusi kode berikutnya yang melampaui cakupan apa yang telah dibahas di blog ini.
Satu poin tambahan dalam menerapkan Arc: sayangnya, Anda tidak dapat menghubungkan “di atas” pengaturan Arc lain tanpa terlebih dahulu memutuskan koneksi Arc yang ada, operasi yang memerlukan peran Azure Connected Machine Resource Administrator. Anda mungkin bisa menyiasatinya dengan menghapus instalasi sepenuhnya dan kemudian menginstal ulang klien Arc, tetapi itu bukan opsi pertama saya untuk eksekusi atau persitensi. Intinya, ini berarti bahwa bahwa jika sistem sudah menginstal Arc di atasnya, Anda harus fokus untuk mendapatkan akses ke sana melalui koneksi yang ada, alih-alih mencoba mengatur koneksi ke penyewa Anda sendiri di atasnya.
Catatan: Daftar ini tidak dimaksudkan untuk berisi daftar lengkap dari semua riset yang terkait dengan penggunaan ofensif Arc; melainkan, daftar artikel dan pembicaraan yang membantu saya mendapatkan pemahaman tentang platform serta vektor serangan yang tersedia melaluinya.
