조직들은 계속해서 클라우드 기반 서비스를 구현하고 있으며, 이는 온프레미스 Active Directory와 Microsoft Entra ID(구 Azure AD)를 연결하는 하이브리드 아이덴티티 환경의 광범위한 채택으로 이어졌습니다. 이러한 하이브리드 ID 환경에서 디바이스를 관리하기 위해 가장 널리 사용되는 디바이스 관리 솔루션 중 하나로 Microsoft Intune(Intune)이 부상했습니다. 이 신뢰할 수 있는 엔터프라이즈 플랫폼은 온프레미스 Active Directory 장치 및 서비스와 쉽게 통합할 수 있기 때문에 공격자가 수평 이동 및 코드 실행을 위해 악용할 수 있는 주요 표적이 됩니다.
이 연구에서는 Intune에 대한 배경 지식과 조직 내에서 Intune이 어떻게 사용되고 있는지, 이 클라우드 기반 플랫폼을 사용하여 사용자 지정 Windows 애플리케이션을 배포하여 사용자 디바이스에서 코드를 실행하는 방법을 보여줍니다. 또한 이 연구에는 방어자가 수평 이동을 위한 Intune 사용을 감지하는 데 도움이 되는 새로운 Microsoft Sentinel 규칙과 Intune 플랫폼에 대한 방어 강화 지침이 공개되어 있습니다.
Andy Robbins는 2020년에 'Death from Above: Lateral Movement from Azure to On-Prem AD'라는 훌륭한 블로그 글을 썼는데, 이 글에서는 Intune을 악용해 PowerShell 스크립트를 호스트를 대상으로 배포하는 방법과 그 공격 시나리오에 대한 방어 지침을 다루고 있습니다. 우리의 X-Force 연구 결과는 Robbins의 연구를 바탕으로, Windows 애플리케이션을 활용하여 표적 코드 실행을 수행하는 방법과 Windows 호스트가 해당 애플리케이션을 다운로드하여 실행하도록 즉석에서 트리거하는 방법을 제시합니다. 이 연구에는 Intune의 오용을 탐지하여 측면 이동을 용이하게 하고 Intune 플랫폼을 위한 지침을 강화하기 위해 새로 만든 Microsoft Sentinel 규칙도 포함되어 있습니다.
Chris Thompson은 Maestro라는 도구를 DEF CON 32 Demo Labs에서 출시했습니다. 이 도구는 C2 프레임워크에서 Intune PowerShell 스크립트 또는 Windows 애플리케이션을 통한 명령 실행과 함께 Intune을 통해 사용자 및 디바이스 정찰을 수행하는 데 사용할 수 있습니다. 이 도구와 Chris의 연구 결과를 꼭 살펴보세요! 다음 X-Force 연구는 Microsoft Intune 웹 인터페이스를 통해 이러한 수평 이동 활동을 수행하는 방법과 코드 실행을 위해 사용자 지정 Windows 애플리케이션의 일부로 배포할 여러 파일을 패키징하는 방법을 보여주기 때문에 차이가 있습니다. 또한 이번 X-Force 연구에는 Intune을 악용하는 수평 이동 활동을 탐지하는 Microsoft Sentinel 탐지 규칙 로직의 출시와 함께 Intune PowerShell 스크립트 및 Windows 애플리케이션을 실행하도록 트리거하는 다양한 방법이 포함되어 있습니다.
많은 기업이 하이브리드 ID 환경을 채택하기 시작했으며, 이는 온프레미스 Active Directory 환경을 Microsoft Entra ID(이전의 Azure AD)와 연결하는 것을 의미합니다. 이를 통해 조직은 사용자 디바이스를 더 잘 관리하고 클라우드 기반 애플리케이션에 대한 사용자 액세스를 포함하여 보다 유연하고 효율적으로 작업할 수 있습니다. 특히 디바이스가 하이브리드 조인되면 온프레미스 Active Directory와 Microsoft Entra ID 모두에서 디바이스를 볼 수 있으며 관리할 수 있습니다. 이러한 구성으로 인해 클라우드 기반 장치 관리 솔루션의 한계는 하이브리드 방식으로 연결된 사용자 워크스테이션과 같은 온프레미스 장치로의 수평 이동을 용이하게 할 수 있습니다.
Microsoft Intune은 하이브리드 조인 디바이스와 같이 Azure에 연결된 디바이스의 구성을 관리하는 데 사용할 수 있는 클라우드 기반 디바이스 관리 솔루션입니다. 다음 섹션에서는 조직에서 Intune을 사용하고 관리하는 방법을 설명합니다.
Microsoft는 기업 내 디바이스 관리를 위한 여러 가지 솔루션을 제공합니다. 이러한 솔루션 중 일부는 다음과 같습니다.
조직에서 Microsoft Intune을 사용하는 주요 전략적 사용 사례는 다음과 같습니다.
Microsoft는 각 역할의 권한과 함께 Intune에서 사용할 수 있는 다양한 역할에 대한 자세한 문서를 제공합니다. PowerShell 스크립트 또는 Windows 애플리케이션을 만들 수 있는 Intune 내 두 가지 권한 있는 역할은 글로벌 관리자 및 Intune 서비스 관리자(일명 Intune 관리자)입니다.
Microsoft Intune을 통해 Windows 호스트에서 코드 실행을 수행하기 위한 몇 가지 옵션이 있습니다. PowerShell 스크립트를 배포하여 스크립트 내에서 직접 명령 실행을 통해 코드를 실행할 수 있습니다. Windows 장치에서 코드 실행의 다른 유형으로는 애플리케이션 배포가 있습니다. 주목할 만한 애플리케이션 유형 몇 가지는 다음과 같습니다.
로그 파일은 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs의 Intune Management 확장 프로그램에서 작성됩니다. 이러한 로그는 디바이스가 Intune에 체크인한 시기와 PowerShell 스크립트 또는 애플리케이션이 실행되었는지 확인하는 데 유용할 수 있습니다.
Intune이 PowerShell 스크립트를 실행할 때, 해당 스크립트의 임시 사본을 C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Scripts에 생성한 후 스크립트 실행 결과를 C:\Program Files (x86)\Microsoft Intune Management Extension\Policies\Results에 저장합니다. 스크립트가 완료되면 임시 스크립트와 결과가 제거됩니다.
Intune이 Windows 애플리케이션을 실행할 때 애플리케이션이 C:\Windows\IMECache\ [UNIQUE_GUID]에서 배포되고 실행됩니다. 애플리케이션 실행이 완료되면 해당 디렉터리가 삭제됩니다.
보안 제품 공급업체와 방어적 보안 실무자에게 잘 알려진 몇 가지 수평 이동 기법이 있으며, MITRE ATT&CK 프레임워크에서 쉽게 사용할 수 있는 문서가 있습니다. 이러한 Windows 수평 이동 기술은 주로 프로그램이나 스크립트를 실행할 수 있는 관리 프로토콜 및 서비스를 활용합니다. 위협 행위자와 공격적인 보안 실무자가 사용하는 일반적인 수평 이동 기법에는 프로그램이나 스크립트를 실행하기 위해 WMI(Windows 관리 계측), 예약된 작업, 서비스 및 DCOM(분산 구성 요소 개체 모델)을 사용하는 것이 포함됩니다. 운영 보안 관점에서는 신뢰할 수 있는 소프트웨어에서 스크립트와 프로그램을 실행하면서 스크립트와 프로그램을 실행할 수 있는 고유한 기술을 찾는 것이 중요합니다. 이러한 기법은 일반적인 기업 활동과 섞일 수 있으며 방어적인 보안 팀에서는 무시할 수 있습니다.
Microsoft Intune 역할 기반 액세스 섹션에 표시된 적절한 권한으로 Azure 사용자를 침해한 경우 PowerShell 스크립트 또는 애플리케이션을 배포하여 Intune 에이전트가 설치된 모든 Windows 호스트에서 코드 실행을 수행할 수 있습니다. 이것은 신뢰할 수 있는 기업 소프트웨어에서 시작되는 은밀하고 독특한 수평 이동 실행 트리거로 사용될 수 있습니다.
다음 섹션에 표시된 시나리오에서는 Intune 관리 센터 내에서 권한 있는 액세스 권한을 획득했다고 가정합니다. 또한 이 시나리오의 일환으로, Intune을 수평 이동 실행 트리거로 활용하여 대상 호스트에서 Cobalt Strike 비콘을 통해 대화형 명령·제어(C2) 접근 권한을 획득하는 것이 목표입니다.
Intune은 Entra ID 그룹을 사용하여 스크립트 또는 애플리케이션이 실행되는 위치를 제어합니다. 따라서 대상으로 삼는 호스트 또는 호스트 그룹이 아직 그룹의 구성원이 아닌 경우 스크립트 또는 애플리케이션이 실행되는 위치를 제어할 수 있도록 해당 호스트 또는 호스트 그룹을 만들어야 합니다. 일반적으로 하이브리드 ID 환경 내에서는 Entra ID 내에서 사용자의 관련 디바이스를 볼 수 있습니다. 이렇게 하면 대상 호스트 목록을 만들 수 있습니다. 이 정보는 ROADtools와 같은 자동화된 툴 및 스크립트를 사용하여 검색할 수도 있습니다.
대상 호스트를 할당하기 위해 새 Microsoft Entra ID 그룹을 만들어야 하는 경우 Intune 관리 센터 내에서 '그룹' > '새 그룹'을 선택합니다.
아래의 각 스크린샷과 같이 대상 호스트 또는 사용자를 선택할 수 있습니다. 이 경우 WIN-8675309 호스트를 대상으로 하는 그룹을 만듭니다.
그룹에 대한 요약이 표시되며 그룹을 만들 수 있습니다.
Intune에서 배포한 PowerShell 스크립트 또는 Windows 애플리케이션의 즉각적인 임시 트리거를 수행하는 방법은 여러 가지가 있습니다. 그 예는 다음과 같습니다.
또는 다음에 디바이스가 자체적으로 다시 시작되거나 다음에 호스트의 Intune 에이전트가 새로운 PowerShell 스크립트 또는 Windows 애플리케이션을 Intune에 체크인할 때까지 기다릴 수 있습니다.
코드 실행을 수행하는 또 다른 방법은 PowerShell 스크립트 대신 Windows 애플리케이션을 배포하는 것입니다. 이 방법은 Intune 에이전트에 의해 대상 호스트에 배포되고 실행되는 여러 파일을 패키징할 수 있으므로 보다 유연합니다. 이는 공격자 입장에서 여러 파일이 필요한 DLL 사이드로딩 페이로드 배포 시 유용합니다. Intune Windows 애플리케이션을 통해 Dism.exe DLL 사이드로드 페이로드를 배포하는 과정은 아래에서 자세히 설명하겠습니다.
Microsoft의 Win32 Content Prep Tool을 사용하여 .intunewin 파일 내에 페이로드 파일을 패키징합니다. 이는 애플리케이션을 안전하게 배포할 수 있는 압축 파일 형식입니다. 이 패키징의 작동 방식에 대한 자세한 내용은 이 블로그 게시물에서 확인할 수 있습니다. 이 예제에서는 실행 파일과 DLL 파일이 포함된 디렉터리가 있습니다. Win32 Content Prep Tool을 사용하여 해당 파일을 .intunewin 파일 안에 패키징합니다.
아웃풋 .intunewin 파일은 지정한 출력 디렉터리에 기록됩니다. 이 경우 저희는 Dism.exe 및 DismCore.dll을 Dism.intunewin 파일에패키징했습니다.
이제 Windows 애플리케이션 패키지를 만들었으므로 배포를 진행할 수 있습니다. Intune 관리 센터 내에서 '앱' > 'Windows 앱' > '추가'로 이동합니다.
드롭다운 메뉴에서 'Windows 앱(Win32)'을 선택합니다.
이전에 만든 .intunewin 파일을 업로드하고 애플리케이션에 대한 정보를 채웁니다.
다음으로, install 명령을 추가합니다. 이 경우 실행 파일(Dism.exe)입니다. uninstall 명령의 경우 무엇이든 입력할 수 있습니다. 또한 이 애플리케이션을 '시스템'으로 실행하도록 선택했으며 디바이스 재시작 동작에 대해 '특정 조치 없음'을 선택했습니다. 'System'을 선택하면 NT AUTHORITY\SYSTEM 계정으로 실행됩니다.
탐지 규칙은 애플리케이션이 이미 존재하는 경우 이를 설치하지 못하도록 하는 데 사용됩니다. 따라서 탐지 규칙의 결과가 성공하면 애플리케이션이 설치되지 않습니다. 어떤 경우에도 애플리케이션이 실행되기를 원하기 때문에 존재하지 않는 바이너리를 실행하려고 시도하는 PowerShell 스크립트를 업로드했습니다. 이렇게 하면 탐지 스크립트가 항상 실패하므로 애플리케이션이 존재하지 않으며 설치가 계속됩니다.
"종속성" 및 "대체" 섹션을 건너뛰고 "할당" 섹션에 대상 호스트가 있는 그룹을 추가하세요.
Windows 애플리케이션을 만들면 Intune 관리 센터에 애플리케이션이 표시되고 '할당됨' 열에 '예'가 표시되어야 합니다. 이것은 Windows 애플리케이션이 사용자가 지정한 그룹에 할당되어 배포되고 실행되기 위해 대기 중임을 의미합니다.
대상 호스트에서 Intune 에이전트의 임시 트리거를 수행하기 위해 "IntuneManagementExtension" 서비스를 다시 시작합니다. 서비스를 다시 시작한 후 대상 호스트가 Intune에서 Windows 애플리케이션을 다운로드하고 실행하는 데 최대 5분이 걸릴 수 있습니다. 대상 호스트가 5분 후에도 Windows 애플리케이션을 다운로드하고 실행하지 않으면 서비스를 다시 시작해야 할 수 있습니다. 임시 트리거를 수행하는 다른 방법은 임시 트리거 섹션에 있습니다.
서비스가 다시 시작된 후 AgentExecutor.log 및 IntuneManagementExtension.log를대상 호스트의 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs 디렉터리 내에서 모니터링할 수 있습니다. AgentExecutor.log에서 마지막으로 수정한 날짜가업데이트되었을 때. Intune 에이전트가 Windows 애플리케이션을 다운로드하고 실행했어야 합니다. 또한 C:\Windows\IMECache 디렉터리를 모니터링하여 애플리케이션 파일이 언제 다운로드되었는지 확인할 수 있습니다. 고유한 GUID로 하위 폴더가 생성됩니다.
이 시점에서 Windows 애플리케이션이 배포되고 실행되었으며, 대상 호스트인 WIN-8675309에서 Cobalt Strike 비콘을 확보했습니다.
이 섹션에서는 본 연구에서 설명하는 공격 시나리오에 대한 Intune의 구성 강화 및 탐지 능력을 향상시키기 위한 몇 가지 방어 고려 사항을 설명합니다.
Intune을 악용하는 수평 이동 활동에 대한 탐지 또는 위협 헌팅 규칙을 만들려면 먼저 감사 로깅을 사용하도록 설정해야 합니다. Intune 관리 센터 내에서 '테넌트 관리' > '진단 설정' > '진단 설정 추가'를 선택합니다.
"AuditLogs" 및 "OperationalLogs"를 선택한 다음 로그 분석 작업 영역으로 로그를 보내도록 선택합니다.
IntuneAuditLogs 및 IntuneOperationLogs 스키마가 로그 분석 작업 영역에 채워지기 시작하는 것을 볼 수 있을 것입니다.
로그 분석 작업 영역에서 Intune 로그를 받기 시작한 후에는 Microsoft Sentinel 인스턴스에서 해당 작업 영역을 사용하여 다음 섹션에서 설명하는 위협 추적 및 분석 규칙을 만들기 시작할 수 있습니다.
Microsoft Sentinel이 이 연구에서 설명하는 Intune 공격 시나리오를 탐지하기 위한 공개 분석 규칙은 현재 없습니다. 따라서 아래 섹션에는 Intune 내의 아래 공격 시나리오에 대해 Microsoft Sentinel 내에서 스케줄링된 분석 규칙으로 적용할 수 있는 여러 가지 규칙 논리가 나와 있습니다.
이러한 각 분석 규칙에 대해 사용자 환경에서 적절하게 테스트 및 조정을 수행하는 것이 좋습니다. 아래에 강조 표시된 KQL 쿼리는 이 KQL-Queries 리포지토리에서 복사하여 붙여넣을 수 있습니다.
아래 링크된 규칙 로직은 사용자가 배포를 위해 PowerShell 스크립트 또는 애플리케이션을 만들 때마다 경고를 표시합니다.
CreatedPSScriptOrWindowsApp.kql
Microsoft Sentinel에서 이 규칙이 트리거되는 예는 아래 스크린샷에 나와 있습니다.
아래 링크된 규칙 로직은 24시간 이내에 PowerShell 스크립트를 만들고 삭제한 모든 사용자를 반환합니다. 이는 공격자가 PowerShell 스크립트를 배포한 후 자신의 흔적을 숨기려는 증거일 수 있습니다.
Microsoft Sentinel에서 이 규칙이 트리거되는 예는 아래 스크린샷에 나와 있습니다.
아래 링크된 규칙 로직은 24시간 이내에 Windows 애플리케이션을 만들고 삭제한 모든 사용자를 반환합니다. 이는 공격자가 Windows 애플리케이션을 배포한 후 자신의 흔적을 숨기려는 증거일 수 있습니다.
CreatedAndDeletedWindowsApp.kql
Microsoft Sentinel에서 이 규칙이 트리거되는 예는 아래 스크린샷에 나와 있습니다.
아래 링크된 규칙 로직은 PowerShell 스크립트나 애플리케이션을 만들고 24시간 이내에 디바이스를 다시 시작한 모든 사용자를 반환합니다.
CreatedPSScriptOrWindowsAppForcedRestart.kql
Microsoft Sentinel에서 이 규칙이 트리거되는 예는 아래 스크린샷에 나와 있습니다.
아래 규칙 로직은 PowerShell 스크립트 또는 애플리케이션을 만들고 24시간 이내에 디바이스 동기화도 실행한 모든 사용자를 반환합니다.
CreatedPSScriptOrWindowsAppForcedSync.kql
Microsoft Sentinel에서 이 규칙이 트리거되는 예는 아래 스크린샷에 나와 있습니다.
지정된 그룹의 구성원이 새 스크립트 또는 애플리케이션 배포를 승인하도록 승인 정책을 만들 수 있습니다. 앞서 설명한 탐지 규칙과 함께 이러한 정책을 적용하면 Intune 인스턴스의 보안 상태를 크게 강화할 수 있습니다.
“테넌트 관리” > “다중 관리자 승인” > “액세스 정책” > “생성”으로 이동합니다.
액세스 정책 이름, 설명 및 프로필 유형과 같은 필수 정보를 입력합니다. 프로파일 유형으로 '스크립트'를 선택합니다.
새 스크립트 배포를 승인할 그룹을 하나 또는 여러 그룹에 추가합니다.
정책을 생성하면 '액세스 정책' 탭에 해당 정책이 채워진 것을 확인할 수 있습니다.
이제 정책이 적용되었으므로 사용자가 새 스크립트를 만들려고 하면 아래 메시지가 표시됩니다. 비즈니스 타당성 근거와 함께 요청을 제출한 후, 지정된 그룹의 승인자가 스크립트 배포를 승인해야 합니다.
앞서 설명한 것과 동일한 단계를 수행하여 모든 애플리케이션 배포에 대한 승인을 요구할 수도 있습니다. 액세스 정책을 만들 때 프로필 유형 드롭다운 메뉴에서 '앱'을 선택해야 합니다.
'앱'의 프로필 유형을 포함하여 만든 정책의 요약을 확인할 수 있습니다.
이제 사용자가 새 애플리케이션을 만들려고 할 때 정책이 적용되므로 아래 메시지를 받게 됩니다. 비즈니스 근거와 함께 요청을 제출한 후 지정된 승인 그룹의 승인자가 이를 승인해야 애플리케이션이 배포됩니다.
Microsoft는 Microsoft Entra ID 구성 보안에 대한 자세한 지침을 강조하는 Microsoft Entra ID 모범 사례 가이드를 제공합니다. Microsoft Intune의 권한 있는 역할 남용과 관련된 몇 가지 중요한 권장 사항은 다음과 같습니다.
하이브리드 ID 아키텍처의 채택과 클라우드 기반 서비스의 사용이 계속 증가하고 있습니다. 조직은 이러한 클라우드 기반 서비스를 사용하여 Office 365 및 기타 클라우드 기반 서비스에 연결되는 사용자 엔드포인트 및 개인 디바이스 관리를 포함하여 엔터프라이즈 인프라를 관리합니다. 따라서 Microsoft Intune과 같은 클라우드 기반 서비스의 오용을 제대로 탐지하는 것이 그 어느 때보다 중요해졌습니다. X-Force는 위협 행위자가 수평 이동 및 코드 실행을 위해 악용할 수 있는 다른 비즈니스 크리티컬 클라우드 기반 서비스 방어에 대한 추가 조사를 강조하고 영감을 주는 이 연구를 목표로 합니다.
이 연구에 대한 피드백을 제공하고 블로그 게시물 콘텐츠 검토를 제공해 주신 아래 분들께 특히 감사드립니다.
