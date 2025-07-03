Microsoft Azure Arcに関する研究は、最近のレッド・チームのオペレーション中に始まりました。そこで、オンプレミスへのArcのデプロイを担当するハードコードされたサービス・プリンシパル・シークレットを含むPowerShellスクリプトに出会いました。このサービスについてはあまり知らなかったので、復旧した認証情報を使って何ができるかを調べ、研究を始めました。最終的には、このトピックに関する先行の研究で文書化されたテクニックを使用して、ドメインコントローラー上でコードを実行し、Microsoft Azureに戻ることができましたが、これによってArcに関するいくつかの広範な疑問が浮かびました。たとえば、どうやって環境内で特定するのか？エスカレーションの可能性がある（誤った）構成は何か？他にどのようなコード実行ベクトルが存在するか？アウト・オブ・バンドの永続化メカニズムとして使用できるか？などです。
そもそも、Azure Arcとは何でしょうか？大まかに言うと、Azureネイティブの管理機能を、オンプレミス・システム、Kubernetesクラスター、VCenterデプロイメントなど、Azure以外のさまざまなリソースにまで拡張し、これらのシステムをAzureネイティブのホストの場合と同じように、Azure Resource Managerを通じて管理できるようにするものです。Arcエージェントがホストにデプロイされると、基盤となるリソースがAzureに登録され、モニタリング、ポリシーの実施、更新管理などの主要な機能スイートが公開されます。しかし、私が最も興味を持ったのは、これを使用してファイルをリモートでダウンロードし、NT_AUTHORITY\SYSTEMのコンテキストで信頼できるプロセスからコマンドを実行できることです。Arcの機能の一部はIntuneと重複していますが、Arcはエンドポイントやモバイル・デバイスではなく、インフラストラクチャーとサーバーの管理を目的として構築されています。
Arcはそれほど新しいものではなく（元は2019年にリリースされました）、他の先行研究では、コードの実行と環境での永続化にどのように使用できるかについて概説しています。さらに、Azure 仮想マシン（VM）への攻撃に関する既存の研究は、Arcとかなり重複しています。Arcで構成されたオンプレミス・システムは、AzureネイティブVMとよく似てAzureで管理できるからです。このブログでは、既存の調査では十分に調査できていない領域に焦点を当て、典型的なレッド・チーミング・ワークフローにおけるプラットフォームの攻撃的な使用方法について概説し、Azure Arcのデプロイメントに関する防御的なガイダンスも提供することで、もう少し背景情報を提供したいと考えています。
Arcへの攻撃の詳細に入る前に、サービスがどのように機能するか、そしてデプロイメント・プロセスがどのようなものかをより深く理解するために、テスト・テナントにArcをセットアップしました。ArcはAzureサービスであるため、マネージド・リソースを接続するには、サブスクリプションとダウンストリーム・リソース・グループが必要となります。アクセスも、これらのスコープに割り当てられたAzureのロールベースのアクセス制御（RBAC）ロールを通じて後から管理されます。これを自分のラボで設定する場合は、追加の注意として、サブスクリプション -> (サブスクリプション) -> 設定 -> リソース・プロバイダーで、サブスクリプションに次のリソース・プロバイダーを登録する必要があります。
これらの前提条件が満たされると、Arcに関連付けられたサブスクリプションに適切なロールが割り当てられたアカウントを使用してサービスにアクセスできるため、一般的な管理ウィンドウが表示されます。
Arcをまだどこにもデプロイしていないため、すぐに「リソースの追加」インターフェースに移動します。このメニューには、さまざまなデバイス・タイプのデプロイメントと検出オプションが含まれていますが、当面の関心事は、現在のAzureテナントの外部でホストされているWindowsおよびLinuxサーバーを管理できるマシン機能です。これをクリックすると、単一または複数のホストのデプロイメントに対応したさまざまなデプロイメント・オプションが表示されます。
このインターフェイスの中で、単一サーバーとインストーラーを含むWindowsサーバーのオプションは、単発のデプロイメントに適しており、AWS/更新管理のオプションは、AzureやAWSを通じて既に管理されているクラウドネイティブなデバイスに重点を置いています。このケースでは、複数サーバーのデプロイメント・オプションに最も関心があります。これは、ハイブリッド・エンタープライズの展開シナリオでIT管理者が使用する最も一般的な経路である可能性が高いためです。
複数サーバーのオプションをクリックすると、デプロイメント ワークフローでは、サブスクリプション、リソース・グループ、およびArc管理デバイスを接続するリージョンに関するさまざまな基本的な質問が行われます。このページの下部までは非常に簡単で、このデプロイメント中のデバイス登録にサービス・プリンシパルを使用するように求められます。以下のテキスト・ブロックは基本的に、デプロイメントを行うためにAzure Connected Machine Onboardingロールで構成されたサービス・プリンシパルが必要であることを示しているだけであり、適切なロールが割り当てられた新しいサービス・プリンシパルを作成するオプションも示しています。
この場合、デプロイメント用に新しいサービス・プリンシパルTest_Arc_SPを作成します。
この作成インターフェイスでは、次に、新しいサービス・プリンシパルにどのような役割を付与するかを尋ねます。これらのロールが付与する権限についての追加のコンテキストや警告なしに、興味深い名前のAzure Connected Machine Resource Administratorを含むどのオプションでも選択することができます。
最後に、以下の画像のように、Arcをオンプレミス・ホストにデプロイするためにサポートされている4つのメカニズムのいずれかが示されます。以下の「Arcへのアクセスの取得」セクションで、それぞれについて詳しく説明します。
インストールの種類を問わずArcがデプロイされ、Azureに再度接続されると、新しいクライアント・システムがAzure Arc -> Azure Arcのリソースに表示されます。
Arcの攻撃的な使用について考えたときの最初の疑問は「ハイブリッド・エンタープライズ環境の場合、Arcが使用されているかどうかを判断するためにどのような調査を実行すればよいのか」というものでした。これらの指標は、Azureとオンプレミスの2つのカテゴリーに大きく分類できます。
Arcへのアクセスは、Azure RBACを介して制御されます。つまり、サービスへのアクセスやその使用状況に関する基本的な可視性さえも、Arcのデプロイメントに関連するサブスクリプションでロールが割り当てられていないオブジェクトの権限の範囲外であることを意味します。とはいえ、Arc が使用されているかどうか、そしてどのようなシステムにインストールされている可能性が高いかを、権限のない Entra ユーザーが特定できる間接的な方法もあります。上記のデプロイメントプロセスの手順を順を追って説明すると、Microsoft Entra内でオブジェクトが追加または変更されるポイントがいくつかあり、これらのポイントを確認して、Arcがテナント内で使用されているかどうかを判断できます。
まず、AzureテナントのサブスクリプションがArcに必要なリソース・プロバイダー（例：Microsoft. HybridCompute）で構成されている場合、Arc Token ServiceとArc Public Cloud – Serversという2つのサービス・プリンシパルが作成されます。これらは、必ずしもArcが実際に組織内にデプロイされていることを意味するものではなく、テナント内の少なくとも1つのサブスクリプションがサービスがサポートされる方法で構成されていることを意味するものです。この例は、以下の新しいAzureテナントで、Arcに必要なリソース・プロバイダーを構成する前と後に見られます。
デプロイメントプロセスが進むにつれて、前のセクションで説明したデプロイメントプロセスで概説されているように、サービス・プリンシパルがデバイスをArcに結合するために使用されます。これは、必要なRBACロールが手動で割り当てられた以前の既存のサービス・プリンシパル、またはArcデプロイメント・インターフェイスを通じて自動生成されたサービス・プリンシパルのいずれかです。管理者がArcを通じて直接サービスプリンシパルを作成すると、Azureによって自動的に AzureArcSPN タグが設定され、権限のないEntraユーザーが、Azureコマンドラインから直接検索するか、ROADreconやAzureHoundの収集結果から検索できます。ここでも、Arcが実際にデプロイされたという具体的な証拠は提供しませんが、この方法で構成されたサービス・プリンシパルは、このテナントの管理者が少なくともArcデプロイメント・プロセスのステップに関与したことを示します。Arcを通じてサービス・プリンシパルを作成する例と、ROADreconによって収集された識別可能なタグ・データの例は、以下のとおりです。
最後に、システムがArcにオンボードされると、管理用IDがEntra内で作成され、他のサービス・プリンシパルと同様に、EntraとAzureの両方でロールを付与できます。この管理されたIDはデフォルトではEntra内に存在するため、権限のないプリンシパルは、収集されたAzure Reconデータをフィルタリングして、Microsoft.HybridComputeを含むResourceIDを持つデバイスを検索することで、Arcにオンボードされているシステムを列挙できます（これは、Entra内でハイブリッド結合されているデバイスとは異なり、誤検知が発生することはありません）。Azure コマンドラインにアクセスできる場合、このプロセスは次のコマンドを使用すると非常に簡単です。
この長いResourceID文字列には、システムが関連付けられたサブスクリプションIDとリソース・グループが含まれるという追加のメリットもあり、異なる環境にまたがる複数のArcデプロイメントを識別できるようになります。
あるいは、ROADreconまたはAzureHound経由でAzureデータを収集した場合は、その結果を解析してArc管理オブジェクトを特定できます。ROADrecon内では、関連情報はResourceID内に格納され、AzureHound JSONコレクション・ファイル内では、同じ情報がAlternativeNames属性内に格納されます。この属性はBloodHoundにコピーされていないか、直接アクセスできないように見えますが、JSONファイルを直接検索すると、管理対象オブジェクトの完全なリストを復元できます。
Arcデプロイメントのオンプレミス・インジケーターは、ローカルホストとネットワークの2つのカテゴリーに分類されます。Arcクライアントがシステムにインストールされると、C:\Program Files\AzureConnectedMachineAgentフォルダーが作成されます。このフォルダーには、Arcクライアントに関連するすべての関連ファイルが含まれています。このフォルダーの存在、およびArc関連のプロセスとサービス（例：gc_arc_service.exeまたは acproxy.exe）は簡単に確認できる点があります。さらに、Arcクライアントをネットワーク上のシステムにプッシュするために使用されるデプロイメントのメカニズムによっては、検索可能なものが追加されている可能性があります。たとえば、ArcがGPO経由でデプロイされる場合、セットアップ・プロセスでは、[MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation)という名前の自動生成されたGPOが作成されます。
では、Arcが環境内で使用されていることを確認した場合、どうすればそれにアクセスできますか。その質問に答えるには、まず私たちが関心のあるアクセスとは具体的に何かを理解することが重要です。アクセスの主な最終目標は、通常、管理されたエンドポイントでコードを実行することであるため、コードの実行を可能にするアクセス権から、それらのアクセス権を付与するAzureロールまで逆算して調べることで、私たちが関心のあるアカウントやロールの適切な出発点を提供できます。NSIDE Attack Logicのベネディクト・ストローブルによる過去の調査を振り返ると、PowerShellクエリを実行すれば、すべてのロールに権限を与え、少なくとも一つのコード実行メカニズムがArc経由で可能になります（これらのメカニズムの詳細は次のセクションで詳しく述べます）。クエリーとその結果のアウトプットは、次のとおりです。
Log Analytics Contributorのような一部の特殊なロールを除き、最も興味深いロールの1つが、Azure Connected Machine Resource Administratorロールです。前のAzure Arcデプロイメント・プロセスのセクションを振り返ると、これはArcデプロイメント・プロセス中に作成されたサービス・プリンシパルに割り当て可能なロールの1つでした。
これにより、デプロイメントのサービス・プリンシパルは、必然的にオンプレミス・ネットワーク上でそのシークレットにアクセスできる可能性が高くなり、単独のチェックボックス（リスクに関する警告や追加のコンテキストを持たないチェックボックス）をArc内の管理から遠ざけることができます。作成中に誤って割り当てられたこの管理者役割を持つサービス・プリンシパルは、Azure内の新しいArcクライアントの登録に使用できるだけでなく、インストールされているArcクライアント上でコマンドの実行にも使用できます。この理解可能な見落としを最近の評価中に特定し、活用したことで、Arcを通じて権限を昇格させ、クライアントのオンプレミスを引き継ぐことができました。
このデプロイメント・サービス・プリンシパルは、特に、コードの実行を許可する他のロールを備えた他のアカウントのリストを取得するために必要な権限を持っていない場合に、非常に優れた初期ターゲットであるようです。しかし、どうやってそこへのアクセス権を得るのでしょうか。まず、そしておそらく最も直接的なものとして、Entra内にシークレットを追加することによって、Arcに関連付けられたサービス・プリンシパルにアクセスできるパスがある（サービス・プリンシパルの所有者、アプリケーション管理者など）場合、オブジェクトを直接変更して、認証に使用できます。これにより、Arcへの特権アクセスを取得できるようになります。これに加えて、Arcが使用するデプロイメント・メカニズムは設定ミスがあったり、デプロイメント・サービス・プリンシパルのシークレットの回復によってエスカレーションが可能になる可能性もあります。次に、Arcがサポートする4つの主要なエンタープライズデプロイメントメカニズムをそれぞれ検討し、確認すべきエスカレーション・パスを特定します。
Arcのデフォルトかつ最も基本的なデプロイメント方法は、IT管理者が複数のシステムで実行できる自動生成されたPowerShellスクリプトをダウンロードすることです。このスクリプトは、MicrosoftのWebサイトから関連するMSIインストーラーを取得し、その後、インストールされたクライアントを正しいAzureテナントに接続するための後続の構成を実行します。皮肉なことに、この自動生成されたスクリプト内でサポートされているデフォルトの認証メカニズムでは、スクリプトへのデプロイメントに使用されているサービス・プリンシパルのシークレットがハードコードされます。
このデプロイメントメカニズムは非常に簡単であるため、デフォルトのスクリプト名OnboardingScript.ps1のPowerShellスクリプトやArcに関連する名前やコンテンツを含むスクリプトで、通常のファイル共有recon中に監視を怠らない以外にすべきことはありません。
デプロイメントに Configuration Manager を選択すると、上記のものと同じ PowerShell スクリプトが生成されますが、主な違いは、Arc がスクリプトの直接実行またはタスク シーケンスとして、Microsoft の System Center Configuration Manager（SCCM）を介してデプロイする方法について追加のガイダンスを提供することです。
これらは推奨される2つのデプロイメント・メカニズムですが、IT管理者はパッケージやアプリケーションなどのインストールなど、SCCMを通じて他のデプロイメントのメカニズムも使用することができます。使用中のデプロイメント・オプションに関係なく、タスク・シーケンスと（オプションの）スクリプトのデプロイメントの対象範囲として機能するSCCM内のコレクションの概念を念頭に置くことが重要です。環境内のランダムなホストから SCCM データを回復しようとしても、あまり良い成果が得られない可能性があります。ホストが適切なコレクションのメンバーでないと、ほとんどの場合、適切な情報を取得できないためです。代わりに、まずArcクライアント（SCCM管理ポイントやデータベース・サーバーならさらに望ましい）であると識別されたホストに横移動し、次にSCCM Reconを実行すると、より良い結果が得られる可能性があります。
SCCM Configuration Managerには、管理者が管理対象システム上でPowerShellスクリプトを実行できるようにする機能が含まれています。スクリプトは、タスク・シーケンスやパッケージと同じ方法でSCCMクライアントによって取得されません。オンデマンドでサーバーからクライアント・システムにプッシュされます。これをテストするために、自動生成されたArcデプロイメント・スクリプトを使用して、SCCM Configuration Managerで簡単なスクリプトを構築できます。デプロイしているシステムには既にArcがインストールされているので、シークレットは未入力のままにしておきます。
スクリプトがSCCMを通じてデプロイされると、クライアント・システムの C:\Windows\CCM\ScriptStoreディレクトリにコピーされ、SSCMクライアントによって実行される前に、アクセスをNT_AUTHORITY\SYSTEMのみに制限する随意アクセス制御リスト（DACL）で構成されます。このフォルダー内のファイルは、インスタンス固有の設定に基づいて定期的にクリーンアップされますが、機密データを含む可能性のあるこのスクリプトや他のスクリプトを確認することは確実に価値があります。
あるいは、SCCMデータベースにアクセスできれば、SQLReconのScriptDataモジュールを使ってSCCMで作成されたすべてのスクリプトを直接復元できます。Arcをデプロイするスクリプトで構成されたSCCMインスタンスのサイト・データベースに対してこのモジュールを実行した場合のアウトプット例は、以下で確認できます。
SCCMスクリプトの実行は手動のポイント・イン・タイム・プロセスであるため、現実的に、SCCMスクリプトを介したデプロイメントの可能性はそれほど高くありません。新しいサーバーがオンラインになり、将来的にArcに追加する必要が生じた場合、管理者は再度アクセスしてスクリプトを再実行し、それを追加のシステムに適用する必要があります。
より自動化されたスケーラブルなデプロイメント・プロセスは、SCCMコレクションに適用されるタスク・シーケンスを使用します。このメカニズムをテストするために、Arcデプロイメント・スクリプトを実行する単純なタスク・シーケンスを作成し、それを実行しているシステムを含むSCCMコレクションにデプロイできます。
このスクリプトをデプロイした後、SharpSCCMでget secretsコマンドを実行すると、スクリプトを含むポリシーにはsecretフラグが付加されているため、スクリプトを含むアクセス可能なタスクシーケンスを回復できます。
該当するポリシー内の SourceScript プロパティには、渡された元のスクリプトの b64 表現が含まれています。平文に戻すと、元のスクリプトを復元できるようになります。
スクリプトを復旧するときに利用できるオプションと同様に、SCCMサイト・データベースにアクセスできる場合は、SQLReconを使用してタスク・シーケンス・データを直接復旧することもできます。
グループ・ポリシーによるArcデプロイメントは、前述の2つのメカニズムよりも少し複雑で、グループ・ポリシー・オブジェクト（GPO）を介して実行されるスクリプトが指すことができるネットワーク共有の設定から始まる複数のステップで構成されています。公式ガイダンスでは、すべてのドメイン・コンピューターにこの共有への読み取り+書き込みアクセスが必要であると説明しています。つまり、このデプロイメント・メカニズムが使用されている場合、サービス・プリンシパル・シークレットはドメイン内の任意のNT_AUTHORITY\SYSTEMコンテキストから回復できる必要があるということです。
共有を設定し、ArcクライアントMSIをダウンロードしてコピーした後、次のステップでは、GPOの自動作成に使用されるPowerShellスクリプトと関連DLLを含むGitHubリポジトリーをダウンロードします。
最後に、GitHubからダウンロードしたファイルを呼び出すPowerShellスクリプトが生成され、以前に設定したArcデプロイメント共有の場所に基づく引数が含まれます。
結果として得られるPowerShellスクリプトを実行すると、GPOが作成され、デプロイメント・ネットワーク共有でホストされているファイルを使用してArcクライアントをインストールし、Azureに接続するスケジュールされたタスクが作成されます。その後、このGPOを、Arcをデプロイするシステムを含む組織単位（OU）にリンクできます。
この命名規則に一致するGPOが標準的なActive Directoryの偵察中に特定された場合、GPOファイルをレビューして、デプロイメントファイルを含むネットワーク共有の場所を特定できます。
NT_AUTHORITY\SYSTEMのコンテキストで何らかのアクセスを行うと、この共有を（デフォルトまたはMSが推奨するアクセスで作成した場合）リモートで閲覧できます。これは次のようになります。
最も関心があるのは、非常に目立った名前のencryptedServicePrincipalSecretファイルです。EnableAzureArc.ps1スクリプトを見ると、このシークレットがDPAPI-NGを使用して暗号化されたBLOBであることがわかります。
DPAPI-NG（またはCryptographic Next Generation [CNG] DPAPI）は、ユーザーまたはマシン固有のDPAPI暗号化および復号化機能を可能にするだけでなく、オブジェクトのメンバーシップに基づいたオペレーションも可能にします。たとえば、この例では、encryptedServicePrincipalSecret内のDPAPI-NG BLOBが、ドメイン・コンピューター・グループのどのメンバーでも復号化できるように構成されています。概念実証として非常にシンプルなPowerShellスクリプトを考えましたが、AzureArcDeployment.psm1（それ自体は.NETコードのラッパーにすぎません）のコードを、NT_AUTHORITY\SYSTEMのコンテキストでビーコン上のメモリー内で実行できるアセンブリに変換してシークレットの回復と復号化を行うのが非常に簡単です。
最後に、サービス・プリンシパルIDやサブスクリプションIDなど、その他すべての関連する接続情報は、同じデプロイメント共有にあるArcInfo.jsonファイルにあります。
最終的な公式デプロイメント・オプションでは、上記のPowerShellスクリプトと非常によく似たAnsibleプレイブックが生成されます。Ansible攻撃の具体的な内容は、セットアップと環境に応じて大きく異なるため、このデプロイメントについてはこれ以上拡張することはありません。
ArcはLinuxホストの管理をサポートしていますが、AzureのArcブレードで直接利用できるデプロイメント方法はWindowsベースのデバイスに大きく偏っています。Linuxのデプロイメントは、bashスクリプトを使用することでサポートされますが、Ansibleのデプロイメントと同様に、企業環境全体に適用される場合、そのバリエーションはかなり多くなる可能性が高いです。
ここからは、サービス・プリンシパルのシークレットの回復に成功し、このサービス・プリンシパル（または別の回復済みアカウント）がArc内の実行権限を持っていると仮定します。Arcの全体的な目的は、オンプレミス・デバイスをAzureコントロール・プレーンに公開することであるため、通常はAzure VMに関連するさまざまなコード実行プリミティブが、Arcクライアントがインストールされているオンプレミス・ホストへのアクセスを取得する範囲になります。ただし、上記のArc固有の権限のみを必要とする実行手段に焦点を当てることで、実行アクションには、実行コマンドと拡張機能の追加/変更の2つのカテゴリーができます。どちらの実行ベクトルも、Azure VM に対する同等の実行とほとんど同じように機能し、以前のブログ/ツールで他のユーザーによって詳細に文書化されています。そのため、運用上の使用方法や、それほど広く文書化されていない特筆事項以外は、詳細についてはあまり詳しく説明しません。
runコマンドは一種の擬似拡張機能であり、ディスク上の特性や実行ツリーの仕様の多くが他の拡張機能と共有されますが、Arcとともに自動的にインストールされ、管理対象システムのインストール済み拡張機能リストには表示されません。この機能により、Arcを介して管理されるクライアント上でコマンドを簡単に実行できます。主な前提条件は、クライアントのバージョンが1.33以上であることです。これは、以下に示すように、az connectedmachine show コマンドで確認できます。
az commandline（CLI）を通じてコマンドを実行しようとすると、前述の書き込み権限だけでなく、リソース・グループの読み取り権限も必要となります。これは、デフォルトでは自動生成されたサービス・プリンシパルにはありません。結果として、az CLI からコマンドを直接実行しようとするとエラーが発生します。
これは、Azure REST APIと直接対話することで回避できますが、実行されたコマンドからアウトプットを取得することはできません。この例では、クライアント・システム上で単にnotepad.exeを起動する、run-notepadという名前の実行ジョブを作成します。
渡されたコマンドは、C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloadsフォルダー内のPowerShellスクリプトに書き込まれ、Arc内に作成された実行ジョブの名前に対応する名前が付けられ、最終的にはNT_AUTHORITY\SYSTEMのコンテキストで実行されます。
このPowerShellスクリプトは実行終了時に自動的に削除されませんが、同じ名前の実行ジョブを追加で実行すると、以下に示すように、元のスクリプトが削除され、反復された拡張子で新しいスクリプトが作成されます。
このスクリプトに加えて、各実行コマンドの実行中にディスク上に他のいくつかのファイルが作成されます。これらについては、「防御に関するガイダンス」セクションで詳しく説明します。
さらに、実行コマンドはAzure内にオブジェクトを作成し、実行が完了したらその後削除する必要があることにも留意してください。このアクションはリソース・レベルで読み込まれないため、az CLIを介して直接実行できます。
Arcクライアントは、Azure VMと同様に、さまざまなMicrosoft承認済みの拡張機能のインストールを通じて機能を強化できます。最もよく悪用される拡張機能は、Windowsのカスタム・スクリプト拡張機能（CSE）で、任意のコマンドの実行とインターネットからのファイルのダウンロードの両方を可能にします。ただし、他の拡張機能は、CSEの実行に焦点を当てた静的検知の回避に役立つ可能性のあるさまざまな実行ツリーを提供します。次に、CSEとWindows Admin Center拡張機能の両方の実行について説明します。
デフォルト設定のサブスクリプションで、Azure Connected Machineリソース管理者ロールでプロビジョニングされたサービス・プリンシパルのコンテキストで実行していると仮定すると、AzureのREST APIを通じてもう一度コマンドを送信する必要があります。実行前の、拡張機能ベースでの実行に関する注意事項として、任意の時点でホストにデプロイできる拡張機能のコピーは1部のみです。つまり、CSEが既に対象のホストに追加されている場合、新しい拡張機能を作成するのではなく、既存の拡張機能を更新する必要があります。ホストに現在インストールされている拡張機能のリストは、以下のようにして az CLI から取得できます。
このインスタンスでは、このホストに拡張機能がまだインストールされていません。
CSEを作成する際には多くの引数が必要であり、その中で最も重要なのは、オプションのcommandToExecute属性が含まれているprotectedSettings argです。ちょうど、この属性にはコマンド実行引数が配置されます。REST APIに対して実行し、メモ帳を起動するCSEを作成できるaz CLIコマンドの例は以下のとおりです。
これを再度実行すると、NT_AUTHORITY\SYSTEMのコンテキストで実行が行われます。
CSEが作成されたら、次の形式のコマンドを使用して、REST APIを介して現在のステータスでさらにチェックインすることもできます。
これを実行すると、開始されたプロセスがクライアント・システム上で終了するまで、CSE デプロイメントが実行状態を維持していることがわかります。
CSEを削除しようとしても、拡張機能は強制的に停止できないため、この動作を念頭に置くことが重要です。つまり、システムへのアクセスを許可しない長時間実行プロセスを生成する CSE を起動し、そのプロセスを強制終了できる別のメカニズム (実行コマンドなど) がない場合、ボックスが再起動するまで CSE を実行できなくなる可能性があります。さらに、C2ビーコンをデプロイするメカニズムとしてCSEを使用している場合は、CSEオブジェクトをクリーンアップできるように、元のプロセスから移行することをお勧めします。
CSEの実行において、単にメモ帳を実行するだけではなく、もう少し高度な作業を行いたいと考えてみましょう。現在の CSE を更新するにはいくつかのオプションがあり、その場で更新するか、CSE 拡張機能を削除して再デプロイすることができます。インプレースでの更新はより単純ですが、実行前に前のCSE実行が何らかの形式で完了（成功、失敗など）していなければなりません。既存のCSEを更新するには、REST APIに渡した元のコマンドを変更して再送信してCSEを作成し、commandToExecute属性値を更新したコマンドに変更するだけです。これには、実行中もクライアントシステムの CSE フォルダ構造を維持できるというメリットもあります。
場合によっては、実行したプロセスがクライアント システム上で実行されなくなった場合でも、CSE が作成中状態でハングする可能性があることがわかりました。この状態を特定する最善の方法は、 影響を受けるホストの拡張機能リストを確認することです。ホストのprovisioningStateが作成中と表示されます。しかし、プロセスが実際にホストを実行している場合は、実行が発生していることを示すステータス・メッセージでわかります。
お使いの CSE がこの「作成中だが、実際には実行されていない」状態にある場合は、CSE を完全に削除するのが最善の方法です (実行したプロセスが既に実行されていないことが確実な場合)。削除は次のコマンドで実行できます。
基盤となる実行可能ファイルがまだ実行されている（例：httpビーコンがNT_AUTHORITY \SYSTEMとして実行され、プロキシ制御のためにエグレスにできない）ときにCSEを削除しようと、プロセスは終了せず、CSEが自身を削除することもありません。その代わりに、CSE拡張機能が無期限に削除中状態で動かなくなることがあります。私が確認した唯一の完全な修復方法は、AzureからHybrid Identityの親オブジェクトを削除し、管理対象システムからArcクライアントをアンインストールして、すべてを再インストールすることです。大変なことのように聞こえますが、実際には、すべてを実行して再び稼働させるまでのプロセスはわずか5分程度でした。
CSE の削除に関して留意すべきもう 1 つのことは、削除プロセスによって C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension フォルダーがクライアント システムのディスクから削除され、その構造内でアップロードまたは変更された可能性のあるファイルが消去されるということです。さらに、AzureでのCSE削除コマンドの処理には3～5分かかります。これは通常です。
CSEがコマンドの実行以外にできる興味深いことの1つは、インターネットからのファイルのダウンロードです。FileUris attribの設定argの下でファイルの配列を指定することができます。これにより、C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator]フォルダーにファイルをダウンロードできるようになります。このフォルダー構造は、CSEがAzure内で削除されるまで保持され、その時点でCSE拡張機能に関連するすべてのものがディスクから削除されます。これは、このフォルダーからディスクの他の場所にファイルをコピーするスクリプトを作成できることを意味します。これにより、従来のWebダウンロード・クレードルに依存せずにファイルを密輸するメカニズムが実現します。これらのファイルはデフォルトディレクトリの外に移動されても残るため、コピーしてディスク上の別の場所から次のCSEで実行できるため、前述のCSEダウンロードフォルダからの実行の識別に依存する静的検知ができなくなります。
成功するかどうかがわからないこのようなより高度なロジックを作成する場合、実行が成功したかどうかを示すアウトプットを取得できることも便利です。CSEの実行からアウトプットを直接回復することはできませんが、終了コードは返されます。これは、プログラムの現在の状態（例：ファイルコピーの成功など）に基づいて特定のコードで終了する条件付き分岐をコードに含めることができることを意味します。これらの要素を組み合わせて、次のような非常に不自然なデモを実行してみましょう。
これらのことを実現するシンプルなPowerShellスクリプトは、次のようになります。
このスクリプトをaz REST API VIA® JSON BLOBに渡すことができるように、必要なすべてのエスケープを使用してこれをフォーマットすると、次のようなコマンドが生成されます。
上記を実行し、実行が完了するまで1分待った後に、az Connectedmachine Extensionslistコマンドでステータスを確認できます。これを実行すると、終了コード10が返され、実行が成功したことがわかります。エラー・メッセージは、ゼロではないリターン・コードを示す汎用メッセージであり、気にする必要はありません。
リモート・システムを確認すると、ファイルが正常にコピーされたことをVerifyすることもできます。
ご覧のとおり、このコードはすぐに複雑になってきます。作業をさらに合理化するために、PowerShellスクリプトをfileUris配列に追加し、commandToExecute属性から呼び出すことで、PowerShellスクリプトをダウンロードすることもできます。
先に進む前に、最後にもう1つ、実行の指紋を変更することで、この手法のステルス性を高める方法について共有しましょう。CSEによる最初のプロセス・ローンチを思い返すと、cmd.exeは実行ツリーの上部に表示され、すぐに確認できる親プロセスはありませんでした。
この最上位のcmd.exeプロセスを調べると、存在しない親プロセスID（PID）5068が表示されます。
Process Monitorをさらに掘り下げると、謎の親プロセスID（PPID）5068が、cmd /c呼び出しを通じて現在のプロセス・ツリーを作成した、cmd.exeのさらに別のインスタンスであることを示すことができます。この謎のcmdプロセス自体は、enable.cmdスクリプトの実行を通じてPID 3588のgc_extension_service.exeによって生成されました。
なぜこれが重要なのでしょうか？現在、gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe ->[CSE経由で実行するもの]という、かなり静的な実行ツリーがあります。そのチェーンの上方に挿入することができれば、よく知られたプロセスツリー構造から生じる不審な実行に焦点を当てた検知を回避できるでしょう。この.cmdファイルとは、IBMが制御するイベント（CSEの作成または変更）の成果として、既知の場所からNT_AUTHORITY\SYSTEMが実行している未署名のスクリプトに過ぎません。このスクリプトを変更すれば、標準的な実行フローをリダイレクトすることで私たちが選択したプロセスを呼び出しますホスト上の唯一の実行ベクトルがArc経由であると仮定すると、このファイルを変更するには既知のプロセスツリーを実行する必要があるため、少しだけ回復力がある問題が発生します。ただし、署名されていないファイルに対してテキスト変更を実行すると、他の一般的なエクスプロイテーション後のアクションと比較すると、検知性のプロファイルがはるかに低くなります。この変更（または他の拡張機能に対して行うことができるその他の同様の変更）については、ここでは詳細には記載しませんが、簡単に実行できることのアイデアだけを紹介します。
ここまでは、Azure Connected Machine Resource Administratorロールで構成されたオーバープロビジョニングサービスプリンシパルの立場から、非インタラクティブREST APIを使用して可能な攻撃に焦点を当ててきました。ただし、Webグラフィカルユーザーインターフェース（GUI）にアクセスできるアカウントがあれば、実行できる範囲が大幅に広がります。管理対象クライアントにプッシュしてコード実行の新しいAvenue®を開くことができる拡張機能は多種多様ですが、Arc内を調べていたときに、私にとって最も興味深いものとなったのはWindows Admin Center（WAC）でした。Arcは、Arc拡張機能を介して、Microsoftがリリースするスタンドアロンのリモート管理ツールであるWindows Admin Centerのバックエンド管理コンポーネントをデプロイできます。私の知る限りでは、Azure REST APIを介してこの拡張機能を直接操作することはできませんが、クライアントにデプロイすると、さまざまなシステム管理オプションがGUIを通じて公開されます。
WAC（lol）拡張機能がArc管理システムにインストールされると、適切なロールが割り当てられている（または自分自身に割り当てることができる）ことが前提で、管理対象デバイスを参照してArcポータル経由で直接アクセスできるようになります。
適切なアクセスを設定すると、管理インターフェースに接続し、プロセスの作成、スケジュールされたタスクの作成と変更、サービスの変更、レジストリーの変更など、さまざまなメカニズムを通じてコードを実行できます。ここでは、それぞれの詳細について入ることは避けますが、WACを介した実行の不具合のいくつかを示す例として、プロセスの作成について簡単に説明します。
プロセスの作成は、おそらくWAC経由でコードを実行する最も簡単な方法であり、開始するプロセスを入力して（オプションの引数を使用）、「go」をクリックするだけです。
興味深いことに、これは仮想アカウント(WAC_[your azure username])のコンテキストで実行されますが、whoami /privをディスク上のテキストファイルにパイプ出力するとわかるように、完全なトークン権限を持つ整合性の高いコンテキストで動作します。
プロセス自体はWmiPrvSe.exeの子として生成されます。これは、Process.Createによる横移動に慣れている人にとっては、使い慣れたプロセスツリーです。この方法でコマンドを実行すると、仮想アカウントのユーザーフォルダがディスク上に作成され、クリーンアップする必要のあるIOCがさらに残ります。ただ、使いやすいことは確かです。
これらのコード実行ベクトルに加えて、グラフィカルファイルやファイルの共有のブラウジングなど、他にもさまざまな管理機能があります。これは自社のエンタープライズ・グレードのC2に主要な機能です。
また、WACにはVMコントロール・パネルがあり、管理対象システムへのHyper-Vのインストールと、その後のVMのデプロイメントと管理が可能になります。
主要な機能は当初は非常に有望に見えましたが、ISOファイルをホストに主要な機能をデプロイする方法を実現しようとしているときに、最初に問題が発生しました。WAC内のファイル・ブラウザーにはアップロード機能が組み込まれていますが、残念ながらアップロード・サイズの上限は非常に低くなります。つまり、VMを構築するには、システム上に適切なISOを取得するために、フォールバック・メカニズムを実装する必要があるということです。その後、ネストされた仮想化に関するエンタープライズ環境でも発生する可能性がある問題が判明しました。エンタープライズ環境内の多くのシステムは通常仮想化されているため、ネストされた仮想化を可能にするためには、Intel VT-x / AMD-Vをシステム上で有効にする必要があります。
最後に、このような主要な機能があれば、Arc / WACがバックグラウンドで行っていることをハイジャックするために、ファイルを置き換えたり変更したりすることで、エクスプロイテーション後のアクションをさらに隠すことができる興味深い攻撃が不足することはありません。これはArc管理クライアントにデプロイ可能な多くの拡張機能のうちの一つに過ぎません。同様のコード実行ベクトルは、さらなる機能を提供する可能性のある他のものにも間違いなく存在します。
WACは独自のスタンドアロンインストールを実行するため、セキュリティ侵害に伴うディスク上のフットプリントとクリーンアップ要件が大幅に拡大することに注意してください。さらに、WAC_アカウントのコンテキストで実行されるアクションは、ユーザー・フォルダーの作成などの追加のオンディスク・アクションの結果をもたらしますが、そのアカウントのローカル・ユーザー・プロファイルは生成されません。そうは言っても、これは多くのコード実行ベクトルを開くクールなAvenue®として機能しますが、ミッションクリティカルサーバーではスキップするかもしれません。
サービス・プリンシパル・シークレットを回収したとしますが、システムのオンボーディングのみを許可するように適切にプロビジョニングされているとします。管理しているシステムをオンボードして、追加の認証情報マテリアルを含む自動インストールや構成がダウンストリームのシステムにプッシュされるかどうかを確認することは、依然として価値がある場合があります。
これは、ArcをC2メカニズムとして使用することについてのAndy Gillの最近のブログまで、あまり言及されていなかったトピックです。Arcは、正規のMicrosoft製品であり、Azure内の有名なAPIエンドポイントと直接通信するという点で優れています。つまり、EDR（エンドポイントの検知と対応）製品に見過ごされがちです。Arcを介して運用することはお勧めしませんが、環境内のフォールバック永続性を実現する興味深いアウトオブバンド・メカニズムとして機能します。ホストがEntra環境にハイブリッド結合されている場合でも、同じテナントでホストされているArcインスタンスに接続する必要はありません。実際にこれが意味するのは、Arc経由でまだ管理されていないホスト上に高整合性コンテキストがある場合、独自のArcクライアントをデプロイし、独自のAzureテナントを通じてそれを管理できるということです。
Andyのブログには、永続化を目的としたArcの全体的な使用方法が詳しく説明されているので、GUIベースのアクセスが不可能な場合（C2エージェントを介して操作する場合によく見られることなど）の場合の操作方法について少しだけ説明します。レビュースクリプトでは、Arcクライアントのインストールプロセスは主に2つの部分で構成されます。MSIインストーラーによる実際のクライアントのVIA®と、Arc Connected Machine Agent（C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe）に渡されるコマンドライン引数によるインストールされたVIA®のAzureテナントへの接続です。このプロセスの両方のステップは、非対話型のコマンドラインコンテキストから、次の大まかな構文を使用して、ローカルまたはリモート（好みの横移動コード実行Avenue®使用）で完了できます。
1.
2.
接続すると、システムはAzureテナントのArcブレード内に表示され、az CLI、az REST API、またはGUIを使用してアクションを実行できるようになります。これで、完全に制御できるテナントにArcクライアントが接続されたので、このブログで説明した範囲を超えて、以降のコード実行に使用できるオプションも幅広く用意されています。
Arcの導入に関する追加のポイントは1つあります。残念ながら、最初に既存のArc接続を切断しない限り、別のArcセットアップの「上から」接続することはできません。この操作には、Azure Connected Machine Resource Administratorロールが必要です。おそらく、Arcクライアントを完全にアンインストールして再インストールすることでこの問題を回避できるでしょうが、それは実行または永続性の最初の選択肢ではありません。つまり、システムにすでにArcがインストールされている場合は、そのシステムに自分のテナントへの接続を設定するのではなく、既存の接続を介してアクセスすることに集中すべきだということです。
注：このリストは、Arcの攻撃的な使用に関連するすべての研究を網羅的なリストにしているわけではありません。むしろ、プラットフォームとそれを通じて利用可能な攻撃ベクトルを理解するのに役立つ記事や講演のリストが含まれています。
