La mia ricerca su Microsoft Azure è iniziata durante una recente operazione di Red Team, dove ci siamo imbattuti in uno script PowerShell contenente un segreto Service Principal codificato in modo rigido, responsabile dell'implementazione di Arc nei sistemi on-premise. Non sapevo molto del servizio, quindi ho iniziato a fare delle ricerche per determinare cosa avremmo potuto fare con le credenziali recuperate. Siamo riusciti a usare tecniche documentate in ricerche precedenti su questo argomento per ottenere l'esecuzione del codice su un domain controller e poi tornare a Microsoft Azure, ma questo mi ha fatto riflettere su alcune domande più ampie legate ad Arc: come lo identificate negli ambienti? Quali configurazioni (errate) potrebbero esistere per consentire l'escalation? Quali altri vettori di esecuzione del codice esistono al suo interno? Potrebbe essere utilizzato come meccanismo di persistenza fuori banda?
Quindi, che cos'è Azure Arc? A un livello generale, estende le funzionalità di gestione Azure-native a una varietà di Risorse non Azure come sistemi on-premise, cluster e distribuzione VCenter, permettendo a questi sistemi di essere gestiti tramite Resource Manager nello stesso modo in cui lo farebbe un host nativo Azure. Una volta che l'agente Arc viene implementato su un host, registra le risorse sottostante in Azure e espone una suite di caratteristiche di gestione: monitoraggio, applicazione delle policy, gestione degli aggiornamenti, ecc. Tuttavia, ciò che mi interessava di più era la possibilità di usarlo per scaricare file da remoto ed eseguire comandi da un processo affidabile nel contesto di NT_AUTHORITY\SYSTEM. Sebbene alcune funzionalità di Arc si sovrappongano a Intune, Arc è progettato appositamente per gestire infrastrutture e server, non endpoint o mobile.
Arc non è una novità assoluta (è stato originariamente rilasciato nel 2019) e altre ricerche precedenti hanno delineato come può essere utilizzato per eseguire codice e mantenerlo in ambienti specifici. Inoltre, la ricerca esistente sull'attacco alle macchine virtuali (VM) di Azure presenta sovrapposizioni significative con Arc, poiché i sistemi on-premise configurati con Arc possono essere gestiti in Azure in modo simile a una VM nativa Azure. Con questo blog, spero di fornire un po' più di contesto concentrandomi su aree meno approfondite nelle ricerche esistenti, oltre a esplorare l'uso offensivo della piattaforma all'interno di un tipico workflow di red teaming e fornire indicazioni difensive per le distribuzioni di Azure Arc.
Prima di entrare nei dettagli su come attaccare Arc, l'ho configurato in un tenant di test per capire meglio come funziona il servizio e come funziona il processo di distribuzione. Poiché Arc è un servizio Azure, richiede un abbonamento e un gruppo di risorse a valle a cui collegare le risorse gestite. L'accesso viene inoltre successivamente gestito tramite ruoli di controllo dell'accesso basato sul ruolo (RBAC) di Azure assegnati a questi ambiti. Se desideri impostare questa funzionalità nel tuo laboratorio, un'ulteriore nota: dovrai registrarti con i seguenti fornitori di risorse nel tuo abbonamento in Abbonamenti -> (il tuo abbonamento) -> Impostazioni -> Fornitori di risorse:
Una volta soddisfatti questi prerequisiti, un account con i ruoli appropriati assegnati all'abbonamento associato ad Arc può essere utilizzato per accedere al servizio, dove ti trovi davanti a una finestra di gestione generale.
Poiché non abbiamo ancora implementato Arc da nessuna parte, passeremo subito all'interfaccia Aggiungi risorse . Questo menu contiene opzioni di implementazione e scoperta per una varietà di tipi di dispositivi, ma ciò che interessa di più è la funzionalità Machine che ci permette di gestire server Windows e Linux ospitati al di fuori dell'attuale tenant Azure. Cliccando su questo vedrai diverse opzioni di implementazione per un host singolo o più host.
All'interno di questa interfaccia, Server singolo e Windows Server con opzioni di installatore sono più adatti a distribuzioni singole, mentre le opzioni AWS/Gestione degli aggiornamenti si concentrano maggiormente sui dispositivi cloud-native già gestiti tramite Azure o AWS. In questo caso, siamo maggiormente interessati all'opzione di implementazione Più server, poiché probabilmente sarà la strada più comune che un amministratore IT utilizzerebbe in uno scenario di implementazione ibrido enterprise.
Cliccando sull'opzione Più server, il workflow di implementazione pone poi una varietà di domande di base riguardanti l'abbonamento, il gruppo di Risorse e la regione a cui collegare i dispositivi gestiti da Arc. Tutto è piuttosto semplice fino alla fine di questa pagina, dove ci viene chiesto di specificare un Service Principal da utilizzare per la registrazione del dispositivo durante questa distribuzione. Il blocco di testo qui sotto afferma essenzialmente che serve un Service Principal configurato con il ruolo Azure Connected Machine Onboarding per effettuare un'implementazione, e ti dà anche l'opzione di creare un nuovo Service Principal con il ruolo appropriato assegnato.
In questo caso, creeremo un nuovo Service Principal Test_Arc_SP per la nostra implementazione.
Questa interfaccia di creazione chiede poi quali ruoli assegnare al nostro nuovo Service Principal. Possiamo selezionare una qualsiasi delle opzioni, inclusa quella dal nome interessante Azure Connected Machine Risorse Administrator, senza ulteriori contesti o avvisi sui privilegi conferiti da questi ruoli.
Infine, ci viene presentato uno dei quattro meccanismi supportati per implementare Arc su host on-premise, come si può vedere nell'immagine sottostante. Tratteremo ciascuno di questi in modo più approfondito nella sezione Ottenere accesso ad Arc qui sotto.
Una volta che Arc viene implementato tramite la variante di installazione scelta e si riconnette ad Azure, il nuovo sistema client apparirà sotto Azure Arc -> Risorse di Azure Arc.
Quando ho pensato all'utilizzo offensivo di Arc, la prima domanda che mi sono posto è stata: "Quando entro in un ambiente aziendale ibrido, quale ricognizione posso fare per determinare se Arc è in uso?". Questi indicatori possono essere suddivisi in due categorie: Azure e on-premise.
L'accesso ad Arc è controllato tramite Azure RBAC, il che significa che l'accesso al servizio e persino la visibilità di base sul suo utilizzo sono in gran parte al di fuori della portata degli oggetti non assegnati a nessun ruolo in un abbonamento associato a una distribuzione/implementazione Arc. Detto ciò, ci sono ancora alcuni metodi indiretti che ci permettono di determinare se Arc è in uso e persino su quali sistemi è probabilmente installato, che possono essere identificati da un utente Entra non privilegiato. Seguendo i passaggi del processo di implementazione sopra, ci sono diversi punti in cui gli oggetti vengono aggiunti o modificati all'interno di Microsoft Entra che possono essere osservati per determinare se Arc è in uso all'interno di un tenant.
Per prima cosa, quando un abbonamento in un tenant Azure è configurato con i Resource Provider necessari per Arc (ad esempio, Microsoft.HybridCompute), verranno creati due Service Principal chiamati Arc Token Service e Arc cloud pubblico – Servers . Queste non significano necessariamente che Arc sia stato distribuito all'interno di un'organizzazione, ma che almeno un abbonamento in un tenant sia stato configurato in modo da supportare il servizio. Di seguito è riportato un esempio di ciò in un nuovo tenant di Azure, prima e dopo la configurazione dei provider di risorse necessari per Arc.
Proseguendo durante il processo di implementazione, viene utilizzato un Service Principal per collegare i dispositivi ad Arc, come illustrato nel processo di implementazione trattato nella sezione precedente. Questo potrebbe essere un Service Principal già esistente a cui sono stati assegnati manualmente i necessari ruoli RBAC, oppure un Service Principal generato automaticamente tramite l'interfaccia di implementazione Arc. Se un amministratore dovesse creare un Service Principal direttamente tramite Arc, questo verrebbe automaticamente configurato con il tag AzureArcSPN da Azure, che è ricercabile da un utente Entra non privilegiato sia direttamente dalla riga di comando di Azure sia dai risultati della collezione di ROADrecon e AzureHound. Sebbene non fornisca prove concrete che Arc sia stato effettivamente implementato, un Service Principal configurato in questo modo dimostrerebbe che un amministratore in questo tenant ha almeno interagito con i passaggi del processo di implementazione di Arc. Un esempio di creazione di un Service Principal tramite Arc, così come i dati identificabili raccolti da ROADrecon, può essere visto di seguito.
Infine, quando un sistema viene inserito in Arc, all'interno di Entra viene creata una Managed Identity per la macchina, alla quale possono essere assegnati ruoli sia in Entra che in Azure, come qualsiasi altro Service Principal. Poiché questa identità gestita è presente all'interno di Entra, di default, un principale non privilegiato può enumerare i sistemi integrati in Arc filtrando i dati raccolti di Azure Recon per cercare dispositivi con un ResourceID contenente Microsoft.HybridCompute (nota che questo è diverso da un dispositivo ibrido unito all'interno di Entra e non dovrebbe fornire falsi positivi). Se hai accesso alla riga di comando di Azure, questo processo è piuttosto semplice, basta usare il seguente comando:
Questa lunga stringa ResourceID ha anche il vantaggio aggiuntivo di contenere l'ID di abbonamento e il gruppo di risorse a cui il sistema è associato, permettendo l'identificazione di più distribuzioni Arc in ambienti diversi.
In alternativa, se hai raccolto dati di Azure tramite ROADrecon o AzureHound, puoi analizzare i Risultati per identificare gli oggetti gestiti da Arc. All'interno di ROADrecon, le informazioni pertinenti sono memorizzate all'interno del ResourceID, e nei file di raccolta JSON di AzureHound, le stesse informazioni sono memorizzate all'interno dell'attributo AlternativeNames. Sebbene non sembri che questo attributo sia copiato in BloodHound o non sia altrimenti direttamente accessibile, la ricerca diretta nel file JSON può permettere il recupero di una lista completa degli oggetti gestiti.
Gli indicatori on-premise della distribuzione di Arc rientrano in una di due categorie: localhost e network. Quando il client Arc viene installato su un sistema, verrà creata la cartella C:\Program Files\AzureConnectedMachineAgent, che contiene tutti i file pertinenti correlati al client Arc. La presenza di questa cartella, così come processi e servizi relativi ad Arc (ad esempio, gc_arc_service.exe o arcproxy.exe), può fornire alcuni elementi semplici da controllare. Inoltre, in base al meccanismo di implementazione utilizzato per spingere il client Arc ai sistemi della rete, potrebbero esserci alcune ulteriori informazioni da cercare. Ad esempio, se Arc viene implementato tramite GPO, il processo di installazione crea un GPO generato automaticamente denominato [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
Quindi, se abbiamo scoperto che Arc è in uso in un ambiente, come possiamo accedervi? Per rispondere a questa domanda, è importante prima capire cosa costituisce specificamente l'accesso che ci interesserebbe. Poiché l'obiettivo finale principale dell'accesso è in genere l'esecuzione di codice su un endpoint gestito, passare dalle autorizzazioni che consentono l'esecuzione del codice ai ruoli di Azure che concedono tali autorizzazioni può fornire un ottimo punto di partenza per account e ruoli che potrebbero interessarci. Guardando indietro alle ricerche precedenti di Benedikt Strobl su NSIDE Attack Logic, vediamo che possiamo eseguire una query PowerShell che otterrà tutti i ruoli che concedono permessi che consentono almeno un meccanismo di esecuzione del codice tramite Arc (maggiori dettagli di questi meccanismi nella prossima sezione). La query e l'output risultante possono essere visualizzati di seguito:
A parte alcuni ruoli particolari che spiccano, come ad esempio Log Analytics Contributor, uno dei più interessanti è il ruolo di Amministratore delle risorse di Azure Connected Machine . Se ricordi dalla precedente sezione sul processo di distribuzione di Azure Arc , questo era uno dei ruoli assegnabili al Service Principal creato durante il processo di distribuzione di Arc.
Questo sostanzialmente mette il Service Principal di distribuzione, che per necessità probabilmente avrà il suo segreto accessibile sulla rete on-premise, una singola casella di spunta (una casella senza avviso o contesto aggiuntivo sul rischio) lontano dall'essere un amministratore all'interno di Arc. Un Service Principal con questo ruolo amministrativo assegnato involontariamente durante la creazione poteva non solo essere utilizzato per registrare nuovi client Arc all'interno di Azure, ma anche eseguire comandi su qualsiasi client Arc installato. È stata questa comprensibile svista che abbiamo identificato e utilizzato al meglio durante la nostra recente valutazione, permettendoci di aumentare i privilegi tramite Arc e prendere il controllo dell'ambiente on-premise del cliente.
Questo Service Principal di implementazione sembra essere un obiettivo iniziale piuttosto buono, soprattutto se non dispone dei privilegi necessari per ottenere gli elenchi di altri account a cui sono assegnati gli altri ruoli noti che garantiscono l'esecuzione di codice. Ma come faresti per accedervi? Innanzitutto, e probabilmente più direttamente, se hai un percorso all'interno di Entra per accedere a un Service Principal associato ad Arc aggiungendogli un segreto (ad esempio, proprietario del Service Principal, amministratore dell'applicazione, ecc.) potresti modificare direttamente l'oggetto e poi usarlo per autenticare, potenzialmente permettendoti di ottenere accesso privilegiato ad Arc. Oltre a questo, i meccanismi di implementazione che Arc utilizza possono essere configurati in modo errato o consentire l'escalation tramite il recupero del segreto del Service Principal di distribuzione. Ora esamineremo ciascuno dei quattro principali meccanismi di distribuzione aziendale supportati da Arc per identificare potenziali percorsi di escalation da verificare.
Il metodo di implementazione predefinito e più elementare per Arc consiste nello scaricare uno script PowerShell generato automaticamente che un amministratore IT può eseguire su più sistemi. Questo script estrae il programma di installazione MSI pertinente dal sito Web di Microsoft e successivamente esegue la configurazione di follow-up per connettere il client installato al tenant di Azure corretto. In modo piuttosto esilarante, il meccanismo di autenticazione predefinito supportato all'interno di questo script auto-generato consiste nel codificare fissamente il segreto del Service Principal utilizzato per la distribuzione nello script.
Poiché questo meccanismo di implementazione è così semplice, non c'è molto su cui approfondire per ottenere accesso, a parte tenere d'occhio durante la normale ricognizione file script PowerShell con il nome predefinito OnboardingScript.ps1, così come script con nomi o contenuti correlati ad Arc.
Selezionando Configuration Manager per la distribuzione si genera uno script PowerShell identico a quello sopra, con la principale differenza che Arc fornisce indicazioni aggiuntive su come implementare lo script direttamente tramite il System Center Configuration Manager (SCCM) di Microsoft, tramite esecuzione diretta dello script o come sequenza di attività.
Sebbene questi siano i due meccanismi raccomandati per la distribuzione, un amministratore IT può alternativamente utilizzare qualche altro meccanismo di implementazione tramite SCCM, come l'installazione di un pacchetto o di un'applicazione. Indipendentemente dall'opzione di implementazione in uso, è importante tenere presente il concetto di collezioni all'interno di SCCM, che fungono da ambito target per l'implementazione di sequenze di task e (opzionalmente) script. Tentare di recuperare dati SCCM da un host casuale nell'ambiente probabilmente non darà ottimi risultati perché, se l'host non fa parte della collezione appropriata, nella maggior parte dei casi non sarà in grado di recuperare informazioni pertinenti. Invece, spostarsi lateralmente su un host identificato come client Arc (o ancora meglio, un punto di gestione SCCM o server database) e poi eseguire la ricognizione SCCM probabilmente porterà risultati migliori.
SCCM Configuration Manager contiene una funzionalità che consente agli amministratori di eseguire script PowerShell sui sistemi gestiti. Gli script non vengono prelevati dal client SCCM come le sequenze di attività o i pacchetti; piuttosto, vengono inviati dal server su richiesta ai sistemi client. Per testarlo, possiamo creare uno script semplice in SCCM Configuration Manager utilizzando lo script di implementazione Arc generato automaticamente. Per ora lasceremo il segreto inesplorato, dato che il sistema su cui stiamo distribuendo ha già Arc installato.
Quando lo script viene implementato tramite SCCM, verrà copiato nella directory C:\Windows\CCM\ScriptStore sul sistema client e configurato con una lista di controllo accessi discrezionale (DACL) che limita l'accesso solo a NT_AUTHORITY\SYSTEM, prima che venga eseguito dal client SCCM. I file in questa cartella vengono periodicamente ripuliti in base a configurazioni specifiche per istanza, ma vale sicuramente la pena controllare se questo o altri script potrebbero contenere dati sensibili.
In alternativa, se accedi al database SCCM, puoi recuperare direttamente tutti gli script creati in SCCM usando il modulo ScriptData in SQLRecon. Un esempio dell'output dell'esecuzione di quel modulo contro il database del sito per un'istanza SCCM configurata con uno script per implementare Arc può essere visto di seguito.
Realisticamente, la distribuzione tramite script SCCM probabilmente non è molto probabile nella pratica, dato che l'esecuzione degli script SCCM è un processo manuale e in un punto nel tempo. Se in futuro dovessero essere attivati nuovi server e dovessero essere aggiunti ad Arc, un amministratore dovrà ricordarsi di accedere nuovamente e rieseguire lo script per applicarlo ad altri sistemi.
Un processo di distribuzione più automatizzato e scalabile sarebbe attraverso una sequenza di attività applicata a una collezione SCCM. Per testare questo meccanismo, possiamo creare una semplice sequenza di task che esegue lo script di implementazione Arc e implementarla in una collezione SCCM che contiene il sistema da cui stiamo eseguendo.
Dopo aver implementato questo script, possiamo eseguire il comando get secrets in SharpSCCM per recuperare sequenze di task accessibili contenenti script, poiché le policy contenenti script hanno il flag secret aggiunto a esse.
La proprietà SourceScript all'interno della policy pertinente contiene una rappresentazione b64 dello script originale che viene passato. La riconversione in testo normale ci consente di recuperare lo script originale.
Analogamente alle opzioni disponibili per il recupero di uno script, se abbiamo accesso al database SCCM del sito, possiamo anche recuperare direttamente i dati delle sequenze di attività usando SQLRecon.
La distribuzione tramite Group Policy è un po' più complicata rispetto ai due meccanismi precedenti e consiste in più fasi che iniziano con la configurazione di una condivisione di rete che lo script, eseguito tramite Group Policy Object (GPO), può puntare. Le linee guida ufficiali affermano opportunamente che tutti i computer del dominio devono avere accesso in lettura e scrittura a questa condivisione, il che significa che se questo meccanismo di implementazione è in uso, il segreto del Service Principal deve essere recuperabile da qualsiasi contesto NT_AUTHORITY\SYSTEM nel dominio.
Dopo aver configurato la condivisione e scaricato e copiato tramite il client Arc MSI, il passo successivo consiste nel scaricare un repository GitHub contenente script PowerShell e le DLL associate che vengono usate per creare automaticamente la GPO.
Infine, viene generato uno script PowerShell che chiama i file scaricati da GitHub, con argomenti basati sulla posizione della condivisione di implementazione Arc precedentemente configurata.
Esecuzione di questo script PowerShell risultante causerà la creazione di una GPO, che crea un compito programmato che installa il client Arc utilizzando i file ospitati sulla condivisione di rete di implementazione e lo collega ad Azure. Questa GPO può successivamente essere collegata a un'Unità Organizzativa (OU) contenente sistemi su cui implementare Arc.
Se un GPO che corrisponde a questa convenzione di denominazione viene identificato durante la ricognizione standard di Active Directory, i file GPO possono essere esaminati per determinare la posizione della condivisione di rete contenente i file di implementazione.
Con qualche tipo di accesso nel contesto di NT_AUTHORITY\SYSTEM, questa condivisione può essere consultata da remoto (se creata con l'accesso predefinito/consigliato da Microsoft), che sarà il seguente:
Di particolare interesse è il file encryptedServicePrincipalSecret, dal nome estremamente evidente. Dando un'occhiata allo script EnableAzureArc.ps1 , si vede che questo segreto è un blob criptato usando DPAPI-NG.
DPAPI-NG (o Cryptographic Next Generationn [CNG] DPAPI) consente non solo funzionalità di crittografia e decrittografia DPAPI specifiche per utente o macchina, ma consente anche operazioni basate sulle appartenenze di un oggetto. Ad esempio, in questo caso, il blob DPAPI-NG all'interno di encryptedServicePrincipalSecret è configurato per permettere a qualsiasi membro del gruppo computer di dominio di decriptarlo. Ho messo insieme uno script PowerShell super semplice come proof of concept, ma dovrebbe essere abbastanza semplice tradurre il codice da AzureArcDeployment.psm1 (che a sua volta è solo un wrapper attorno al codice .NET) in un assembly che può essere eseguito in memoria su un beacon nel contesto di NT_AUTHORITY\SYSTEM per recuperare e decriptare il segreto.
Infine, tutte le altre informazioni pertinenti sulla connessione, come l'ID del Principale del Servizio, l'ID dell'Abbonamento, ecc., si trovano nel file ArcInfo.json sempre nella stessa condivisione di implementazione.
L'ultima opzione ufficiale di distribuzione genera un playbook Ansible molto simile agli script PowerShell trattati sopra. Le specifiche dell'attacco di Ansible variano molto in base alla configurazione e all'ambiente, e di conseguenza non ci dilungheremo ulteriormente su questo meccanismo di implementazione.
Sebbene Arc supporti la gestione degli host Linux, i metodi di distribuzione disponibili direttamente nella blade Arc in Azure tendono fortemente a favore di dispositivi basati su Windows. Le distribuzioni Linux sono supportate tramite l’uso di uno script bash, ma similmente alle distribuzioni Ansible, probabilmente avranno un grado molto maggiore di variazione quando applicate in un ambiente aziendale.
Proseguendo, supponiamo di aver recuperato con successo il segreto di un Service Principal e che questo Service Principal (o un altro account recuperato) abbia privilegi di esecuzione all'interno di Arc. Poiché lo scopo principale di Arc è esporre i dispositivi on-premise al piano di controllo Azure, una varietà di primitive di esecuzione del codice tipicamente associate alle VM Azure entrano in campo per accedere agli host on-premise che hanno installato il client Arc. Tuttavia, rimanere focalizzati su vie di esecuzione che richiedono solo i permessi specifici di Arc sopra menzionati offre due grandi categorie di azioni di esecuzione: comandi run e aggiunte/modifiche di estensione. Entrambi i vettori di esecuzione funzionano praticamente in modo identico a un'esecuzione equivalente su una VM Azure e sono stati documentati a lungo da altri in precedenti blog/strumenti, quindi non entreremo troppo nei dettagli oltre all'uso operativo e ad alcune particolarità interessanti che non sono così ampiamente documentate.
Il comando run è una sorta di pseudo-estensione che condivide molte delle caratteristiche sul disco e delle specifiche dell'albero di esecuzione con altre estensioni, ma viene installato automaticamente insieme ad Arc e non compare nella lista delle estensioni installate di un sistema gestito. Questa funzionalità consente un modo semplice per eseguire comandi su un client gestito tramite Arc, con il prerequisito principale che la versione del client deve essere > = 1,33. È possibile verificare questo con il comando az connectedmachine show, come mostrato di seguito.
Si noti che tentare di eseguire un comando attraverso la linea di comando az (CLI) richiede non solo i permessi di scrittura precedentemente indicati ma anche i privilegi di lettura sul gruppo risorse, che di default un Service Principal generato automaticamente non ha. Di conseguenza, tentare di eseguire un comando direttamente dalla CLI az genera un errore.
Questo può essere aggirato interagendo direttamente con l'API REST di Azure, anche se non sarà possibile recuperare l'output dai comandi eseguiti. In questo esempio, creeremo un run job chiamato run-notepad che inizia semplicemente notepad.exe sul sistema client.
Il comando passato viene scritto in uno script PowerShell in C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, con un nome corrispondente al nome del lavoro di esecuzione creato in Arc e infine eseguito nel contesto di NT_AUTHORITY\SYSTEM.
Questo script PowerShell non viene automaticamente eliminato al termine dell'esecuzione, anche se ulteriori esecuzioni di un run job con lo stesso nome causeranno la cancellazione dello script originale e la creazione di uno nuovo con un suffisso iterato, come mostrato di seguito.
Oltre a questo script, durante ogni esecuzione del comando run vengono creati sul disco diversi altri file. Questi aspetti saranno trattati più approfonditamente nella sezione Guida difensiva .
Inoltre, ricorda che un comando run crea un oggetto all'interno di Azure che deve essere successivamente eliminato una volta completata l'esecuzione. Poiché questa azione non viene rilevata a livello di gruppo risorse, può essere eseguita direttamente attraverso az CLI.
I clienti Arc possono aumentare le loro funzionalità tramite l'installazione di una varietà di estensioni approvate da Microsoft, in modo simile alle macchine virtuali di Azure. L'estensione più spesso abusata è la Custom Script Extension (CSE) per Windows, che consente sia l'esecuzione di comandi arbitrari sia il download di file da internet. Tuttavia, altre estensioni offrono alberi di esecuzione diversi che possono aiutare a evitare un rilevamento statico focalizzato sull'esecuzione di un CSE. Ora esamineremo sia l'esecuzione tramite CSE, sia l'estensione Windows Admin Center.
Supponendo che tu stia effettuando l'esecuzione nel contesto di un Service Principal provvisto con il ruolo Azure Connected Machine Resource Administrator in un abbonamento con impostazioni predefinite, dovrai nuovamente inviare comandi tramite l'API REST di Azure. Prima dell'esecuzione, un avvertimento sull'esecuzione basata su estensione è che solo una singola copia di un'estensione può essere implementata su un host in un dato momento, il che significa che se un CSE è già stato aggiunto all'host di destinazione, sarà necessario aggiornare l'estensione esistente, anziché crearne una nuova. L'elenco delle estensioni attualmente installate su un host può essere recuperato da az CLI con quanto segue:
In questo caso non sono ancora installate estensioni su questo host:
Sono necessari molti arg per creare un CSE, il più importante dei quali è l'arg protectedSettings, poiché contiene un attributo commandToExecut opzionale. Giustamente, è proprio in questo attributo che vengono posizionati gli arg di esecuzione dei comandi. Di seguito è riportato un esempio di comando az CLI che può essere eseguito contro l'API REST per creare un CSE che lancia Notepad:
L'esecuzione di questa operazione ha dei risultati in un contesto di NT_AUTHORITY\SYSTEM.
Una volta creato un CSE, puoi anche verificare ulteriormente il suo stato attuale tramite l'API REST utilizzando un comando formattato come segue:
Attraverso questa esecuzione, possiamo vedere che l'implementazione CSE rimane in uno stato di esecuzione fino a quando il processo avviato non viene terminato sul sistema client.
È importante tenere presente questo comportamento, in quanto le estensioni non possono essere interrotte forzatamente, nemmeno tentando di eliminare il CSE. Questo significa che se avvii un CSE che genera un processo di lunga durata che non ti concede accesso al sistema, e non hai un altro meccanismo (come i comandi run) che ti permetta di chiudere il processo, potresti potenzialmente bloccarti da ulteriori esecuzioni CSE finché la box non si riavvia. Inoltre, se usi un CSE come meccanismo per implementare un beacon C2, è consigliato migrare fuori dal processo di origine per poter pulire l'oggetto CSE.
Proseguendo, supponiamo di voler fare qualcosa di più avanzato con la nostra esecuzione CSE, rispetto alla semplice esecuzione di Notepad. Esistono diverse opzioni per aggiornare il nostro attuale CSE, e possiamo aggiornare direttamente oppure rimuovere l'estensione CSE e ridistribuire. L'aggiornamento in loco è più semplice, ma si basa sul fatto che l'esecuzione CSE precedente si trovi in una qualche forma di stato completato (ad esempio, riuscito, fallito) prima dell'esecuzione. Per aggiornare un CSE già esistente, puoi semplicemente modificare e riinviare il comando originale che hai passato all'API REST per crearlo, cambiando il valore dell'attributo commandToExecute in quello che hai aggiornato. Questo ha il beneficio di mantenere la struttura di cartelle CSE sul sistema client tra le esecuzioni.
Ho scoperto che in alcuni casi, il CSE può rimanere bloccato in uno stato di creazione, anche quando il processo che ha eseguito non è più in esecuzione sul sistema client. Il modo migliore che ho trovato per identificare questo stato è controllare la lista di estensioni sull'host interessato, che prevedibilmente mostrerà l'host in un provisioningState di Creazione, ma se un processo è effettivamente ancora in esecuzione tramite l'host, noterai anche un messaggio di stato che indica che l'esecuzione è in corso.
Se il tuo CSE si trova in stato "Creazione, ma non esecuzione", l'approccio migliore è eliminarlo completamente (se sei sicuro che il processo eseguito con esso non sia più in esecuzione), operazione che puoi eseguire con il seguente comando:
Tentare di eliminare un CSE quando l'eseguibile sottostante è ancora in esecuzione (ad esempio, un beacon https che gira come NT_AUTHORITY\SYSTEM e non può uscire a causa dei controlli proxy) non causerà l'uscita del processo, né il CSE si cancellerà da solo. Al contrario, può causare il blocco dell'estensione CSE in uno stato di eliminazione in corso per un tempo indefinito, con l'unica correzione completa che ho identificato nell'eliminare l'oggetto padre dell'identità ibrida da Azure, disinstallare il client Arc dal sistema gestito e reinstallare tutto. Sembra spaventoso, ma una volta capito questo, ci sono voluti circa cinque minuti per rimettere tutto in funzione.
Un'altra cosa da tenere a mente riguardo alla cancellazione dei CSE: il processo di cancellazione rimuove la cartella C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension dal disco del sistema client, cancellando eventuali file che potresti aver caricato o modificato in quella struttura. Inoltre, ci vogliono da tre a cinque minuti per elaborare il comando CSE delete in Azure. Questo è normale.
Una delle cose interessanti che un CSE può fare oltre a eseguire comandi è scaricare file da Internet. Un array di file può essere specificato sotto l'arg delle impostazioni nell'attributo fileUris, che consente di scaricare i file nella cartella C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator]. Questa struttura di cartelle persiste fino a quando il CSE non viene eliminato all'interno di Azure, momento in cui tutto ciò che riguarda l'estensione CSE viene cancellato dal disco. Questo significa che potresti creare uno script che copia i file da questa cartella in altre parti del disco, permettendo un meccanismo per contrabbandare file che non si basa su una tradizionale culla di download web. Poiché questi file persistono una volta che vengono spostati fuori dalla directory predefinita, potrebbero essere copiati e poi eseguiti con un successivo CSE da un'altra parte del disco, rompendo una rilevamento statico dipendente dall'identificazione delle esecuzioni dalla cartella CSE downloads precedentemente indicata.
Quando si crea logica più avanzata come questa, che può o meno avere successo, è anche utile poter recuperare output che indichi se un'esecuzione è stata efficace o meno. Anche se non riusciamo a recuperare direttamente l'output dalle esecuzioni CSE, vengono restituiti i codici di uscita, il che significa che possiamo includere il ramificamento condizionale nel nostro codice che esce con un codice specifico basato sullo stato attuale del programma (ad esempio, copia riuscita del file). Mettendo insieme questi pezzi, mettiamo in scena una demo super elaborata che fa quanto segue:
Uno script PowerShell semplice che realizza queste cose potrebbe avere un aspetto simile a questo:
Quando formattiamo questo con tutti gli escape necessari per permettere a questo script di essere passato in un blob JSON tramite l'API az REST, otteniamo un comando che assomiglia al seguente:
Eseguiamo quanto sopra e, dopo aver aspettato un minuto che l'esecuzione si completi, possiamo verificarne lo stato con il comando az connectedmachine extension list. L'esecuzione mostra che abbiamo ottenuto un codice di uscita 10, che indica un'esecuzione riuscita. Il messaggio di errore è un messaggio generico che indica un codice di ritorno diverso da zero, che non ci riguarda.
Controllando il sistema remoto, possiamo anche verificare che i file sono stati copiati con successo.
Come possiamo vedere, questo codice inizia a complicarsi molto rapidamente. Per semplificare ulteriormente le cose, sarebbe anche possibile scaricare uno script PowerShell aggiungendolo all'array fileUris e poi richiamandolo dall'attributo commandToExecute.
Prima di andare avanti, mi consenta di condividere un'ultima idea su come aumentare la segretezza di questa tecnica modificandone l'impronta digitale di esecuzione. Se ricordi, dal nostro avvio iniziale tramite CSE, cmd.exe appariva in cima all'albero di esecuzione, senza un processo genitore facilmente visibile.
Dando un'occhiata a questo processo cmd.exe più in alto, si nota un ID di processo genitore (PID) inesistente di 5068.
Possiamo approfondire un po' con Process Monitor, mostrando che il nostro misterioso Parent Process ID (PPID) di 5068 era un altro caso di cmd.exe, che ha creato il nostro attuale albero di processo tramite una chiamata cmd /c. Questo misterioso processo cmd è stato a sua volta generato da gc_extension_service.exe nel PID 3588 tramite l'esecuzione dello script enable.cmd .
Perché tutto questo è importante? Al momento abbiamo un albero di esecuzione abbastanza statico da gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [qualunque cosa eseguiamo tramite CSE]. Se potessimo inserirci più in alto in quella catena, potremmo aggirare i rilevamenti concentrandoci sulle esecuzioni sospette che provengono da quella nota struttura ad albero dei processi. Poiché file questo .cmd è semplicemente uno script senza segno eseguito da NT_AUTHORITY\SYSTEM da una posizione nota come risultato di un evento che controlliamo (creando o modificando un CSE), sarebbe possibile modificare questo script per reindirizzare il flusso di esecuzione standard a chiamare direttamente un processo a nostra scelta. Assumendo che il nostro unico vettore di esecuzione sull'host sia tramite Arc, presenta comunque un problema del tipo uovo e gallina, poiché dovremmo eseguire tramite un albero di processo noto per modificare questo file. Tuttavia, eseguire modifiche al testo su un file non firmato ha un profilo di rilevabilità molto più basso rispetto ad altre azioni tipiche post-sfruttamento. Non entrerò nei dettagli di questa modifica (o di altre modifiche simili che potrebbero essere apportate ad altre estensioni), ma voglio solo darti un'idea di qualcosa di carino che potresti fare.
Fino a questo momento, ci siamo concentrati sugli attacchi possibili utilizzando l'API REST non interattiva dal punto di vista di un Service Principal in overprovisioning configurato con il ruolo Azure Connected Machine Resource Administrator. Tuttavia, se disponiamo di un account con accesso all'interfaccia grafica utente (GUI) del web, la portata di ciò che si può fare aumenta in modo sostanziale. Esistono diverse estensioni che possono essere spinte ai client gestiti e aprono nuove strade di esecuzione del codice, ma quando stavo esplorando Arc, una di quelle che mi hanno interessato di più è stata il Windows Admin Center (WAC). Arc può implementare la componente di gestione back-end del Windows Admin Center (uno strumento di gestione remota autonomo rilasciato da Microsoft) tramite un'estensione Arc. A quanto ne so, non è possibile interagire direttamente con questa estensione tramite l'API REST di Azure, ma una varietà di opzioni di gestione di sistema vengono esposte tramite la GUI una volta implementate a un client.
Una volta installata l'estensione WAC (lol) su un sistema gestito da Arc, è possibile accedervi direttamente tramite il portale Arc navigando nel dispositivo gestito, a patto che sia stato assegnato il ruolo appropriato (o che sia possibile assegnarlo a se stessi).
Con l'accesso adeguato configurato, puoi connetterti all'interfaccia di gestione ed eseguire il codice attraverso vari meccanismi, tra cui creazione di processi, creazione/modifica di task programmate, modifica del servizio e modifica del registro. Eviterò di entrare nei dettagli di ognuno di questi, ma parlerò rapidamente della creazione di processi come esempio che dimostra alcune delle stranezze dell'esecuzione tramite WAC.
La creazione di processi è probabilmente il modo più semplice per eseguire codice tramite WAC: basta inserire un processo da avviare (con args opzionali) e cliccare su Vai.
È interessante notare che questo viene eseguito nel contesto di un account virtuale (WAC_[il tuo username azure]), ma in un contesto di elevata integrità con privilegi token completi, come si può vedere inoltrando un whoami /priv a un file di testo su disco.
Il processo stesso nasce come figlio di WmiPrvSe.exe, un albero di processo familiare per chi è abituato al movimento laterale tramite Process.Create. Quando un comando viene eseguito in questo modo, l'account virtuale ha una cartella utente creata su disco, lasciando dietro di sé ancora più IOC da ripulire. Comunque è davvero facile da usare!
Oltre a questi vettori di esecuzione del codice, ci sono varie altre caratteristiche di gestione, come la navigazione grafica dei file e la condivisione di file, una caratteristica indispensabile per il tuo C2 di livello aziendale.
WAC dispone anche di un pannello di controllo VM, che consente l'installazione di Hyper-V sul sistema gestito e, successivamente, la distribuzione/implementazione e la gestione delle VM.
Questa caratteristica inizialmente sembrava molto promettente, ma ho incontrato dei problemi quando ho cercato di capire come implementare un file ISO all'host. Il file browser all'interno del WAC ha una funzionalità di upload integrata, ma purtroppo ha un limite di upload piuttosto basso. Ciò significava che sarebbe stato necessario implementare un meccanismo di riserva per ottenere un ISO adatto al sistema e costruire una VM. Successivamente sono stati riscontrati problemi che probabilmente si manifesterebbero anche in un ambiente aziendale riguardo alla virtualizzazione annidata. Poiché molti sistemi in un ambiente aziendale sono tipicamente virtualizzati, Intel VT-x / AMD-V dovrebbe essere abilitato sul sistema per consentire la virtualizzazione annidata.
Infine, con tutte queste caratteristiche disponibili, non mancano attacchi interessanti che potresti eseguire tramite la sostituzione o la modifica dei file per dirottare le cose che Arc / WAC stanno facendo in background per mascherare ulteriormente eventuali azioni post-sfruttamento. Ricorda: questa è solo una delle tante estensioni disponibili per implementare ai client gestiti da Arc. Senza dubbio in altri esistono vettori di esecuzione di codice simili che potrebbero offrire ulteriori funzionalità.
Nota che WAC esegue le proprie installazioni autonome e quindi amplia significativamente l'impronta sul disco e i requisiti di pulizia associati a un compromesso. Inoltre, le azioni che vengono eseguite nel contesto di un account WAC_ comporteranno azioni aggiuntive sul disco, come la creazione di una cartella utente, anche se non viene generato alcun profilo utente locale per l'account. Detto questo, anche se si tratta di una strada interessante che apre una serie di vettori di esecuzione del codice, potrebbe essere qualcosa che eviterei su un server mission-critical.
Supponiamo che tu abbia recuperato un segreto del Service Principal, ma che sia stato correttamente fornito per permettere solo l'onboarding dei sistemi. Potrebbe comunque valere la pena provare a integrare un sistema che controlli per vedere se installazioni o configurazioni automatiche contenenti materiale di credenziali aggiuntivo vengono inviate a valle nel tuo sistema.
Questo è un argomento di cui non avevo visto molta menzione fino al recente blog di Andy Gill sull'uso dell'Arc come meccanismo C2. Arc è ottimo perché è un prodotto Microsoft legittimo e comunica direttamente con endpoint API ben noti all'interno di Azure, il che significa che viene spesso trascurato dai prodotti di rilevamento e risposta degli endpoint (EDR). Anche se non consiglio di provare a operare tramite Arc, rappresenta un interessante meccanismo fuori banda per la persistenza di riserva all'interno di un ambiente. Anche se un host è collegato in modo ibrido a un ambiente Entra, non è necessario che si connetta a un'istanza Arc ospitata nello stesso tenant. In realtà, questo significa che se hai un contesto ad alta integrità su un host che non è già gestito tramite Arc, puoi distribuire il tuo client Arc e gestirlo tramite il tuo tenant Azure.
Poiché il blog di Andy dettaglia perfettamente l'uso complessivo di Arc per la persistenza, aggiungo solo un piccolo punto per l'operativizzazione quando l'accesso tramite interfaccia grafica non è possibile (come sarebbe tipico operando tramite un agente C2). Esaminando gli script di distribuzione, il processo di installazione del client Arc consiste principalmente in due parti: l'installazione del client vero e proprio tramite un installer MSI e la connessione del client installato a un tenant Azure tramite args da riga di comando passati all'Arc Connected Machine Agent (C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). Entrambi i passaggi di questo processo possono essere completati sia localmente che da remoto (utilizzando la via preferita per l'esecuzione del codice di movimento laterale) da un contesto di riga di comando non interattivo, utilizzando la sintassi approssimativa di:
1.
2.
Una volta connesso, il sistema apparirà all'interno dell'Arc blade nel tuo tenant Azure, e potrai usare la CLI AZ, L'API REST AZ o la GUI per eseguire azioni su di esso. Ora che il client Arc è connesso a un tenant su cui ha il pieno controllo, è disponibile anche una gamma più ampia di opzioni per la successiva esecuzione del codice che vanno oltre l'ambito di ciò che è stato trattato in questo blog.
Un punto ulteriore sull'implementazione di Arc: purtroppo, non è possibile connettersi "sopra" un'altra configurazione Arc senza prima disconnettere la connessione Arc esistente, un'operazione che richiede il ruolo di Azure Connected Machine Resource Administrator. Probabilmente si potrebbe aggirare il problema disinstallando completamente e poi reinstallando il client Arc, ma non sarebbe la mia prima opzione per l'esecuzione o la persistenza. In realtà, questo significa che se un sistema ha già Arc installato, dovresti concentrarti sull'accesso tramite la connessione esistente, invece di cercare di configurare una connessione con il tuo tenant su di essa.
