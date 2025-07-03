Microsoft Azure Arc에 대한 연구는 최근 레드팀 작업 중에 온프레미스 시스템에 Arc를 배포하는 역할을 하는 하드코딩된 서비스 주체 시크릿이 포함된 PowerShell 스크립트를 발견하면서 시작되었습니다. 서비스에 대해 잘 몰랐기 때문에 복구된 자격증명으로 무엇을 할 수 있는지 연구를 시작했습니다. 결국 이 주제에 대한 이전 연구에서 문서화된 기술을 사용하여 도메인 컨트롤러에서 코드를 실행하고 다시 Microsoft Azure로 전환할 수 있게 되었지만, 이를 통해 Arc와 관련된 몇 가지 더 광범위한 질문에 대해 생각해 볼 수 있게 되었습니다. 어떻게 해야 할까요? 어떤 (잘못된) 설정이 존재해서 에스컬레이션이 가능할까요? 그 안에 어떤 다른 코드 실행 벡터가 존재하나요? 이것을 아웃 오브 밴드 지속 메커니즘으로 사용할 수 있을까요?
그렇다면 Azure Arc란 무엇인가요? 높은 수준에서는 Azure 네이티브 관리 기능을 온프레미스 시스템, Kubernetes 클러스터 및 VCenter 배포와 같은 다양한 비 Azure 리소스로 확장하여 Azure Resource Manager를 통해 이러한 시스템을 관리할 수 있습니다. 네이티브 호스트가 됩니다. Arc 에이전트가 호스트에 배포되면 Azure에 기본 리소스를 등록하고 모니터링, 정책 시행, 업데이트 관리 등의 관리 기능 제품군을 노출합니다. 그러나 가장 흥미로운 점은 NT_AUTHORITY\SYSTEM의 컨텍스트에서 신뢰할 수 있는 프로세스에서 원격으로 파일을 다운로드하고 명령을 실행할 수 있다는 점이었습니다. Arc의 일부 기능은 Intune과 겹치지만, Arc는 엔드포인트나 모바일 디바이스가 아닌 인프라 및 서버 관리를 위해 특별히 제작되었습니다.
Arc는 아주 새로운 것은 아니며(원래 2019년에 출시됨), 다른 이전 연구에서는 코드를 실행하고 환경에서 지속하는 데 어떻게 사용할 수 있는지 설명했습니다. 또한 Azure 가상 머신 공격에 대한 연구는 Arc로 구성된 온프레미스 시스템을 Azure 네이티브 가상 머신처럼 Azure에서 관리할 수 있기 때문에 Arc와 상당히 겹치는 부분이 있습니다. 이 블로그에서는 기존 연구에서 충분히 다루지 않은 영역에 초점을 맞추고, 일반적인 레드팀 워크플로 내에서 플랫폼의 공격적인 사용법을 개괄적으로 설명하고 Azure Arc 배포에 대한 방어 지침을 함께 제공함으로써 좀 더 자세한 컨텍스트를 제공하고자 합니다.
Arc 공격에 대해 알아보기 전에 서비스 작동 방식과 배포 프로세스가 어떻게 이루어지는지 더 잘 이해하기 위해 테스트 테넌트에서 Arc를 설정했습니다. Arc는 Azure 서비스이므로 관리형 리소스를 연결하려면 구독 및 다운스트림 리소스 그룹이 필요합니다. 액세스는 이후에 이러한 범위에 할당된 Azure 역할 기반 액세스 제어(RBAC) 역할을 통해 관리됩니다. 자체 랩에서 이 기능을 설정하려는 경우 한 가지 추가 참고 사항은 구독 -> (구독) -> 설정 -> 리소스 제공자에서 구독의 다음 리소스 제공업체에 등록해야 한다는 것입니다.
이러한 전제 조건이 충족되면 Arc와 연결된 구독에 적절한 역할이 할당된 계정을 사용하여 서비스에 액세스할 수 있으며, 여기에서 일반 관리 창이 표시됩니다.
아직 Arc를 어디에도 배포하지 않았으므로 즉시 리소스 추가 인터페이스로 이동하겠습니다. 이 메뉴에는 다양한 디바이스 유형에 대한 배포 및 검색 옵션이 포함되어 있지만, 가장 즉각적인 관심을 끄는 것은 현재 Azure 테넌트 외부에서 호스팅되는 Windows 및 Linux 서버를 관리할 수 있는 머신 기능입니다. 이를 클릭하면 단일 또는 여러 호스트 배포를 위한 다양한 배포 옵션이 표시됩니다.
이 인터페이스 내에서단일 서버 및 Windows Server(설치 프로그램 포함) 옵션은 일회성 배포에 더 적합하며, AWS/업데이트 관리 옵션은 Azure 또는 AWS를 통해 이미 관리되는 클라우드 네이티브 디바이스에 더 중점을 둡니다. 이 경우 IT 관리자가 하이브리드 엔터프라이즈 배포 시나리오에서 사용하는 가장 일반적인 경로일 가능성이 높은 다중 서버 배포 옵션에 가장 관심이 많습니다.
다중 서버 옵션을 클릭하면 배포 워크플로에서 Arc 관리 디바이스를 연결할 구독, 리소스 그룹 및 지역과 관련된 다양한 기본 질문을 합니다. 이 페이지 하단까지 모든 것이 매우 간단하며, 이 배포 중에 디바이스 등록에 사용할 서비스 사용자를 입력하라는 프롬프트가 표시됩니다. 아래 텍스트 블록은 기본적으로 배포를 수행하려면 Azure 커넥티드 머신 온보딩 역할로 구성된 서비스 주체가 필요하다고 명시하고 있으며, 적절한 역할이 할당된 새 서비스 주체를 만들 수 있는 옵션도 제공합니다.
이 경우 배포를 위해 새 서비스 책임자 Test_Arc_SP를 생성합니다.
이 생성 인터페이스는 다음으로 새 서비스 책임자에게 어떤 역할을 부여할지 묻습니다. 이러한 역할에 부여되는 권한에 대한 추가 컨텍스트나 경고 없이 흥미로운 이름의 Azure 커넥티드 머신 리소스 관리자를 비롯한 모든 옵션을 선택할 수 있습니다.
마지막으로 아래 이미지에서 볼 수 있듯이 온프레미스 호스트에 Arc를 배포하기 위해 지원되는 네 가지 메커니즘 중 하나가 제공됩니다. 아래의 Arc 액세스하기 섹션에서 각각에 대해 조금 더 자세히 다루겠습니다.
선택한 설치 유형을 통해 Arc가 배포되고 Azure에 다시 연결되면 새 클라이언트 시스템이 Azure Arc -> Azure Arc 리소스 아래에 표시됩니다.
공격적인 Arc 사용에 대해 생각할 때 가장 먼저 드는 질문은 "하이브리드 엔터프라이즈 환경에 들어가면 Arc가 사용 중인지 확인하기 위해 어떤 정찰을 수행할 수 있나요?"였습니다. 이러한 지표는 크게 Azure와 온프레미스의 두 가지 범주로 나눌 수 있습니다.
Arc에 대한 액세스는 Azure RBAC를 통해 제어됩니다. 즉, 서비스에 대한 액세스 및 사용에 대한 기본적인 가시성조차도 Arc 배포와 관련된 구독에서 어떤 역할도 할당되지 않은 개체의 범위를 크게 벗어납니다. 하지만 여전히 Arc가 사용 중인지 확인할 수 있는 간접적인 메서드가 있으며, 권한이 없는 Entra 사용자도 Arc가 설치되어 있을 가능성이 있는 시스템을 식별할 수 있습니다. 위의 배포 프로세스 단계를 살펴보면 Microsoft Entra 내에서 객체가 추가되거나 수정되는 여러 지점을 관찰하여 테넌트 내에서 Arc가 사용 중인지 확인할 수 있습니다.
먼저, Azure 테넌트의 구독이 Arc에 필요한 리소스 공급자(예: Microsoft.HybridCompute)로 구성되면 Arc 토큰 서비스 및 Arc 퍼블릭 클라우드 - 서버라는 이름의 서비스 주체가 두 개 생성됩니다. 그렇다고 해서 Arc가 실제로 조직 내에 배포되었다는 의미는 아니지만 서비스가 지원되는 방식으로 테넌트에서 하나 이상의 구독이 구성되었음을 의미합니다. 이에 대한 예는 Arc에 필요한 리소스 공급자를 구성하기 전과 후의 새로운 Azure 테넌트에서 확인할 수 있습니다.
배포 프로세스를 계속 진행하면 이전 섹션에서 다룬 배포 프로세스에서 설명한 대로 서비스 주체를 사용하여 디바이스를 Arc에 연결합니다. 필요한 RBAC 역할이 수동으로 할당된 이전의 기존 서비스 주체이거나 Arc 배포 인터페이스를 통해 생성된 자동 생성 서비스 주체일 수 있습니다. 관리자가 Arc를 통해 직접 서비스 주체를 생성하는 경우, 권한이 없는 Entra 사용자가 Azure 명령줄에서 직접 또는 ROADrecon 및 AzureHound의 수집 결과 내에서 검색할 수 있는 Azure의 AzureArcSPN 태그로 자동으로 구성됩니다. Arc가 실제로 배포되었다는 구체적인 증거를 제공하지는 않지만, 이러한 방식으로 구성된 서비스 주체는 이 테넌트의 관리자가 적어도 Arc 배포 프로세스의 단계와 상호 작용했음을 보여줍니다. Arc를 통해 서비스 주체를 생성하는 예와 ROADrecon이 수집한 식별 가능한 태그 데이터는 아래에서 확인할 수 있습니다.
마지막으로 시스템이 Arc에 온보딩되면 시스템에 대한 관리형 ID가 Entra 내에 생성되며 다른 서비스 주체와 마찬가지로 Entra와 Azure 모두에서 역할을 부여받을 수 있습니다. 이 관리 ID는 Entra 내에 존재하므로 기본적으로 권한이 없는 주체는 수집된 Azure 정찰 데이터를 필터링하여 Microsoft.HybridCompute가 포함된 ResourceID를 가진 디바이스를 검색하여 Arc에 온보딩된 시스템을 열거할 수 있습니다(이는 Entra 내에서 하이브리드 조인된 디바이스와는 다르며 오탐이 발생하지 않아야 합니다). Azure 명령줄에 액세스할 수 있는 경우 이 프로세스는 다음 명령을 사용하여 매우 간단합니다.
또한 이 긴 ResourceID 문자열에는 시스템이 연결된 구독 ID 및 리소스 그룹을 포함하여 서로 다른 환경에 걸쳐 있는 여러 Arc 배포를 식별할 수 있다는 추가적인 이점이 있습니다.
또는 RoadRecon 또는 AzureHound를 통해 Azure 데이터를 수집한 경우 이러한 결과를 파싱하여 ARC에서 관리하는 객체를 식별할 수 있습니다. ROADrecon 내에서 관련 정보는 ResourceID 내에 저장되고, AzureHound JSON 컬렉션 파일 내에서는 동일한 정보가 AlternateNames 속성 내에 저장됩니다. 이 속성이 BloodHound에 복사되어 있거나 직접 액세스할 수 없는 것처럼 보이지는 않지만 JSON 파일을 직접 검색하면 관리 대상 객체의 전체 목록을 복구할 수 있습니다.
Arc 배포의 온프레미스 지표는 로컬 호스트와 네트워크의 두 가지 범주 중 하나에 속합니다. Arc 클라이언트가 시스템에 설치되면 Arc 클라이언트와 관련된 모든 관련 파일이 들어 있는 C:\Program Files\AzureConnectedMachineAgent 폴더가 만들어집니다. 이 폴더와 Arc 관련 프로세스 및 서비스(예: gc_arc_service.exe 또는 arcproxy.exe)의 존재 여부는 몇 가지 간단한 확인 사항을 제공할 수 있습니다. 또한 Arc 클라이언트를 네트워크의 시스템으로 푸시하는 데 사용되는 배포 메커니즘에 따라 검색할 수 있는 몇 가지 추가 사항이 있을 수 있습니다. 예를 들어, Arc가 CPO를 통해 배포된 경우, 설치 프로세스는 [MSFT] Azure Arc 서버 온보딩(DateTimeOfGPOCreation)이라는 자동 생성된 GPO를 생성합니다.
그렇다면 환경에서 Arc가 사용 중인 것을 확인했다면 어떻게 액세스할 수 있을까요? 이 질문에 답하기 위해서는 먼저 우리가 관심 있는 액세스가 구체적으로 무엇을 구성하는지 이해하는 것이 중요합니다. 액세스의 주요 최종 목표는 일반적으로 관리되는 엔드포인트에서 코드를 실행하는 것이므로 코드 실행을 허용하는 권한에서 해당 권한을 부여하는 Azure 역할로 거꾸로 작업하면 관심 있는 계정 및 역할에 대한 좋은 출발점이 될 수 있습니다. NSIDE Attack Logic의 Benedikt Strobl의 이전 연구를 되돌아보면, PowerShell 쿼리를 실행하면 모든 역할에 권한을 부여받아 최소 한 가지 코드 실행 메커니즘을 Arc를 통해 가능하다는 것을 알 수 있습니다(이 메커니즘에 대해서는 다음 섹션에서 더 자세히 다룰 예정입니다). 쿼리 및 아웃풋은 아래에서 확인할 수 있습니다.
Log 분석과 같이 눈에 띄는 몇 가지 이상한 역할 외에도 가장 흥미로운 역할 중 하나는 Azure 커넥티드 머신 리소스 관리자 역할입니다. 이전 Azure Arc 배포 프로세스 섹션을 살펴보면, 이는 Arc 배포 프로세스 중에 생성된 서비스 주체에게 할당할 수 있는 역할 중 하나였습니다.
이렇게 하면 기본적으로 온프레미스 네트워크에서 시크릿에 액세스할 수 있는 배포 서비스 주체가 Arc 내에서 관리자가 아닌 하나의 체크박스(위험에 대한 경고나 추가 컨텍스트가 없는 체크박스)에만 액세스할 수 있게 됩니다. 이 관리 역할을 생성 과정에서 우연히 부여받은 서비스 책임자는 Azure 내에서 새로운 Arc 클라이언트를 등록할 뿐만 아니라 설치된 어떤 Arc 클라이언트에게도 명령을 실행할 수 있었습니다. 최근 평가에서 이러한 당연한 실수를 파악하고 이용하여 Arc를 통해 권한을 에스컬레이션하고 고객의 온프레미스 환경을 인수할 수 있었습니다.
특히 코드 실행 권한을 부여하는 다른 역할이 할당된 다른 계정의 목록을 가져오는 데 필요한 권한이 없는 경우 이 배포 서비스 관리자는 꽤 좋은 초기 타깃이 될 수 있습니다. 그렇다면 어떻게 액세스하려면 어떻게 해야 할까요? 먼저, 그리고 아마도 가장 직접적인 방법으로는, Entra 내에서 Arc와 연결된 서비스 주체에 접근할 수 있는 경로가 있고 해당 서비스 주체에 시크릿을 추가할 수 있는 권한(예: 서비스 주체의 소유자, 애플리케이션 관리자 등)을 보유하고 있다면, 해당 객체를 직접 수정한 뒤 이를 사용해 인증할 수 있습니다. 이 경우, Arc에 대한 특권 접근 권한을 획득할 가능성이 있습니다. 이 외에도 Arc가 사용하는 배포 메커니즘이 잘못 구성되거나 배포 서비스 주체 암호 복구를 통한 에스컬레이션이 발생할 수 있습니다. 다음으로 Arc에서 지원하는 네 가지 주요 엔터프라이즈 배포 메커니즘을 각각 살펴보고 확인해야 할 잠재적 에스컬레이션 경로를 식별합니다.
Arc의 기본적이고 가장 기본적인 배포 방법은 IT 관리자가 여러 시스템에서 실행할 수 있는 자동 생성된 PowerShell 스크립트를 다운로드하는 것입니다. 이 스크립트는 Microsoft 웹 사이트에서 관련 MSI 설치 프로그램을 가져온 다음 후속 구성을 수행하여 설치된 클라이언트를 올바른 Azure 테넌트에 연결합니다. 다소 흥미롭게도 이 자동 생성 스크립트 내에서 지원되는 기본 인증 메커니즘은 배포에 사용되는 서비스 주체의 시크릿을 스크립트에 하드코딩하는 것입니다.
이 배포 메커니즘은 매우 간단하기 때문에 기본 스크립트 이름이 OnboardingScript.ps1인 PowerShell 스크립트와 Arc와 관련된 이름이나 내용을 가진 스크립트에 대한 일반적인 파일 공유 정리를 수행하는 동안 액세스 권한을 얻는 데 많은 노력을 기울일 필요가 없습니다.
배포를 위해 구성 관리자를 선택하면 위의 스크립트와 동일한 PowerShell 스크립트가 생성되지만, 주된 차이점은 Arc가 직접 스크립트 실행 또는 작업 시퀀스로 Microsoft의 System Center Configuration Manager(SCCM)를 통해 스크립트를 직접 배포하는 방법에 대한 추가 지침을 제공한다는 점입니다.
이 두 가지 배포 메커니즘이 권장되지만 IT 관리자는 SCCM을 통해 패키지 또는 애플리케이션 설치와 같은 다른 배포 메커니즘을 사용할 수도 있습니다. 사용 중인 배포 옵션에 관계없이 작업 시퀀스 및 (선택적으로) 스크립트의 배포를 위한 대상 범위 역할을 하는 SCCM 내의 컬렉션 개념을 염두에 두는 것이 중요합니다. 호스트가 적절한 컬렉션의 구성원이 아닌 경우 대부분의 경우 관련 정보를 검색할 수 없기 때문에 환경의 임의의 호스트에서 SCCM 데이터를 복구하려고 시도하면 좋은 결과를 얻지 못할 가능성이 높습니다. 대신, 먼저 Arc 클라이언트로 식별된 호스트(또는 더 나은 경우 SCCM 관리 지점 또는 데이터베이스 서버)로 측면 이동한 다음 SCCM 정찰을 수행하면 더 나은 결과를 얻을 수 있습니다.
SCCM 구성 관리자에는 관리자가 관리되는 시스템에서 PowerShell 스크립트를 실행할 수 있는 기능이 포함되어 있습니다. 스크립트는 작업 시퀀스 또는 패키지와 동일한 방식으로 SCCM 클라이언트에서 가져오지 않습니다. 오히려 요청 시 서버에서 클라이언트 시스템으로 푸시됩니다. 이를 테스트하기 위해 자동 생성된 Arc 배포 스크립트를 사용하여 SCCM 구성 관리자에서 간단한 스크립트를 구축할 수 있습니다. 우리가 배포하는 시스템에 이미 Arc가 설치되어 있기 때문에 이 시크릿은 미정으로 남겨두겠습니다.
스크립트가 SCCM을 통해 배포되면 클라이언트 시스템의 C:\Windows\CCM\ScriptStore 디렉터리에 복사되고, SCCM 클라이언트에서 실행되기 전에 NT_AUTHORITY\SYSTEM으로만 액세스를 제한하는 임의 액세스 제어 목록(DACL)으로 구성됩니다. 이 폴더의 파일은 인스턴스별 구성에 따라 주기적으로 정리되지만, 이 스크립트나 민감한 데이터가 포함되어 있을 수 있는 다른 스크립트가 있는지 확인하는 것이 좋습니다.
또는 SCCM 데이터베이스에 액세스할 수 있는 경우 SQLRecon의 ScriptData 모듈을 사용하여 SCCM에서 만든 모든 스크립트를 직접 복구할 수 있습니다. Arc를 배포하기 위해 스크립트로 구성된 SCCM 인스턴스의 사이트 데이터베이스에 대해 해당 모듈을 실행한 결과의 예는 아래에서 확인할 수 있습니다.
SCCM 스크립트 실행은 수동 특정 시점 프로세스이기 때문에 현실적으로 SCCM 스크립트를 통한 배포는 실제로 가능성이 거의 없습니다. 새 서버가 온라인 상태가 되어 향후 언제든지 Arc에 추가해야 하는 경우, 관리자는 다시 로그인하고 스크립트를 다시 실행하여 추가 시스템에 적용해야 한다는 점을 기억해야 합니다.
SCCM 컬렉션에 작업 시퀀스를 적용하면 배포 프로세스를 더욱 자동화하고 확장가능한 할 수 있습니다. 이 메커니즘을 테스트하기 위해 Arc 배포 스크립트를 실행하는 간단한 작업 시퀀스를 만들어 실행 중인 시스템이 포함된 SCCM 컬렉션에 배포할 수 있습니다.
이 스크립트를 배포한 후, SharpSCCM에서 get secrets 명령어를 실행하여 스크립트가 포함된 접근 가능한 작업 시퀀스를 복구할 수 있습니다. 스크립트가 포함된 정책에는 시크릿 플래그가 붙어 있기 때문입니다.
관련 정책 내의 소스 스크립트 속성에는 전달되는 원본 스크립트의 b64 표현이 포함되어 있습니다. 다시 일반 텍스트로 변환하면 원본 스크립트를 복구할 수 있습니다.
스크립트를 복구할 때 사용할 수 있는 옵션과 마찬가지로 SCCM 사이트 데이터베이스에 액세스할 수 있는 경우 SQLRecon을 사용하여 작업 시퀀스 데이터를 직접 복구할 수도 있습니다.
그룹 정책을 통한 Arc 배포는 이전의 두 가지 메커니즘보다 조금 더 복잡하며, 그룹 정책 객체(GPO)를 통해 실행되는 스크립트가 가리킬 수 있는 공유하기를 설정하는 것부터 시작하는 여러 단계로 구성됩니다. 공식 지침에는 모든 도메인 컴퓨터에 이 공유하기에 대한 읽기+쓰기 권한이 있어야 한다고 명시되어 있습니다. 즉, 이 배포 메커니즘을 사용하는 경우 도메인의 모든 NT_AUTHORITY\SYSTEM 컨텍스트에서 서비스 주체 암호를 복구할 수 있어야 합니다.
공유를 설정하고 Arc 클라이언트 MSI를 다운로드하고 복사한 후 다음 단계에서는 GPO를 자동으로 생성하는 데 사용되는 PowerShell 스크립트 및 관련 DLL이 포함된 GitHub 리포지토리를 다운로드합니다.
마지막으로 GitHub에서 다운로드한 파일을 호출하는 PowerShell 스크립트가 생성되며, 이전에 설정된 Arc 배포 공유하기의 위치를 기반으로 하는 인수가 포함됩니다.
이 PowerShell 스크립트를 실행하면 GPO가 생성되어 배포 네트워크 공유에서 호스팅되는 파일을 사용하여 Arc 클라이언트를 설치하고 이를 Azure에 연결하는 예약된 작업을 생성합니다. 이후에 이 GPO를 Arc를 배포할 시스템이 포함된 조직 단위(OU)에 연결할 수 있습니다.
표준 Active Directory 정찰 중에 이 명명 규칙과 일치하는 GPO가 식별되면 GPO 파일을 검토하여 배포 파일이 포함된 네트워크 공유의 위치를 결정할 수 있습니다.
NT_AUTHORITY\SYSTEM 컨텍스트에서 일종의 액세스 권한으로 이 공유를 원격으로 탐색할 수 있으며(기본/MS 권장 액세스 권한으로 만든 경우), 다음과 같은 모양이 됩니다.
가장 흥미로운 것은 매우 눈에 띄는 이름의 encryptedServicePrincipalSecret 파일입니다. EnableAzureArc.ps1 스크립트를 살펴보면 이 시크릿이 DPAPI-NG를 사용하여 암호화된 블롭임을 알 수 있습니다.
DPAPI-NG(또는 CNG(Cryptographic 차세대) DPAPI)를 사용하면 사용자 또는 시스템별 DPAPI 암호화 및 암호 해독 기능을 사용할 수 있을 뿐만 아니라 객체의 멤버십을 기반으로 하는 작업도 수행할 수 있습니다. 예를 들어, 이 경우 EncryptedServicePrincipalSecret 내의 DPAPI-NG 블롭은 도메인 컴퓨터 그룹의 모든 구성원이 암호를 해독할 수 있도록 구성됩니다. 개념 증명을 위해 매우 간단한 PowerShell 스크립트를 만들었지만, 그 자체는 .NET 코드의 래퍼에 불과한 AzureArcDeployment.psm1의 코드를 NT_AUTHORITY\SYSTEM 컨텍스트의 비콘에서 인메모리로 실행하여 시크릿을 복구하고 해독할 수 있는 어셈블리로 변환하는 일은 매우 간단할 것입니다.
마지막으로 서비스 사용자 ID, 구독 ID 등과 같은 기타 모든 관련 연결 정보는 동일한 배포 공유에 있는 ArcInfo.json 파일에서도 찾을 수 있습니다.
최종 공식 배포 옵션은 위에서 다룬 PowerShell 스크립트와 매우 유사한 Ansible 플레이북을 생성합니다. Ansible 공격의 세부 사항은 설정 및 환경에 따라 상당히 달라지므로 이 배포 메커니즘에 대해 더 이상 설명하지 않겠습니다.
Arc는 Linux 호스트 관리를 지원하지만, Azure의 Arc 블레이드에서 직접 사용할 수 있는 배포 방법은 Windows 기반 디바이스에 크게 편중되어 있습니다. Linux 배포는 bash 스크립트를 사용하여 지원되지만 Ansible 배포와 마찬가지로 엔터프라이즈 환경 전반에 적용할 경우 훨씬 더 다양한 변형이 발생할 가능성이 높습니다.
이제 서비스 계정의 시크릿을 성공적으로 복구했고, 이 서비스 계정(또는 복구된 다른 계정)이 Arc 내에서 실행 권한을 가지고 있다고 가정해 보겠습니다. Arc의 전체 목적은 온프레미스 디바이스를 Azure 컨트롤 플레인에 노출하는 것이므로, 일반적으로 Azure VM과 관련된 다양한 코드 실행 프리미티브가 Arc 클라이언트가 설치된 온프레미스 호스트에 액세스할 수 있는 범위에 포함됩니다. 그러나 위에서 언급한 Arc 관련 권한만 필요한 실행 방법에 집중하면 실행 작업에는 크게 실행 명령과 확장자 추가/수정이라는 두 가지 범주가 있습니다. 두 실행 벡터는 Azure VM에 대한 동등한 실행과 거의 동일하게 작동하며 이전 블로그/도구에서 다른 사람들이 자세히 설명했으므로 운영 사용법과 널리 문서화되지 않은 몇 가지 깔끔한 기법 외에는 자세히 다루지 않겠습니다.
실행 명령은 디스크상의 많은 특성 및 실행 트리 세부 사항을 다른 확장과 공유하지만 Arc와 함께 자동으로 설치되며 관리되는 시스템의 설치된 확장 목록에 표시되지 않는 일종의 의사 확장입니다. 이 기능을 사용하면 Arc를 통해 관리되는 클라이언트에서 명령을 간단하게 실행할 수 있으며, 주요 전제 조건은 클라이언트 버전이 >= 1.33 이상이어야 한다는 것입니다. 아래와 같이 az connectedmachine show 명령을 사용하여 이를 확인할 수 있습니다.
az 명령줄(CLI)을 통해 명령을 실행하려면 이전에 언급한 쓰기 권한뿐만 아니라 리소스 그룹에 대한 읽기 권한도 필요하며, 기본적으로 자동 생성된 서비스 사용자에게는 없는 권한이 필요합니다. 따라서 az CLI에서 직접 명령을 실행하려고 하면 오류가 발생합니다.
Azure REST API와 직접 상호 작용하면 이를 우회할 수 있지만, 실행된 명령의 아웃풋을 검색하는 것은 불가능합니다. 이 예제에서는 클라이언트 시스템에서 notepad.exe를 바로 시작하는 run-notepad라는 이름의 실행 작업을 만들어 보겠습니다.
전달된 명령은 C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\ [버전]\ Downloads 폴더의 PowerShell 스크립트에 작성되며, 이름은 Arc 내에서 생성된 실행 작업의 이름에 해당하는 이름으로 작성되며 궁극적으로 NT_AUTHORITY\ SYSTEM 컨텍스트에서 실행됩니다.
이 PowerShell 스크립트는 실행이 끝날 때 자동으로 삭제되지 않지만, 아래와 같이 동일한 이름을 가진 실행 작업을 추가로 실행하면 원본 스크립트가 삭제되고 반복 접미사가 붙은 새 스크립트가 생성됩니다.
이 스크립트 외에도 각 실행 명령 실행 시 디스크에 여러 개의 다른 파일이 만들어집니다. 이러한 내용은 방어 지침 섹션에서 더 자세히 다룰 예정입니다.
또한 실행 명령은 실행이 완료된 후 삭제해야 하는 객체를 Azure 내에 생성한다는 점에 유의하세요. 이 작업은 리소스 그룹 수준에서 읽지 않으므로 z CLI를 통해 직접 실행할 수 있습니다.
Arc 클라이언트는 Azure VM과 마찬가지로 Microsoft에서 승인한 다양한 확장 기능을 설치하여 기능을 강화할 수 있습니다. 가장 많이 악용되는 확장 프로그램은 Windows용 사용자 지정 스크립트 확장(CSE)으로, 임의의 명령을 실행하고 인터넷에서 파일을 다운로드할 수 있습니다. 그러나 다른 확장은 CSE 실행에 초점을 맞춘 정적 탐지를 회피하는 데 도움이 될 수 있는 다른 실행 트리를 제공합니다. 다음으로 CSE를 통한 실행과 Windows Admin Center 확장을 모두 살펴보겠습니다.
기본 설정이 있는 구독에서 Azure 커넥티드 머신 리소스 관리자 역할로 프로비저닝된 서비스 주체의 컨텍스트에서 실행 중이라고 가정하면, 다시 한 번 Azure의 REST API를 통해 명령을 보내야 합니다. 실행 전에 확장 기반 실행의 한 가지 주의사항은 한 번에 한 번에 한 개의 확장 복사본만 호스트에 배포할 수 있다는 점입니다. 즉, 이미 CSE가 대상 호스트에 추가된 경우, 새로운 확장 기능을 생성하는 대신 기존 확장을 업데이트해야 한다는 뜻입니다. 호스트에 현재 설치된 확장 목록은 다음을 사용하여 az CLI에서 검색할 수 있습니다.
이 경우에는 아직 이 호스트에 확장 프로그램이 설치되어 있지 않습니다.
CSE를 만들 때 여러 인수가 필요한데, 그 중 가장 중요한 인수는 선택적 commandToExecute 속성을 포함하는 protectedSettings 인수입니다. 적절하게도 이 속성은 명령 실행 인수가 배치되는 곳입니다. REST API에 대해 실행하여 메모장을 시작하는 CSE를 만들 수 있는 az CLI 명령의 예는 아래에서 확인할 수 있습니다.
이를 다시 한 번 실행하면 NT_AUTHORITY\SYSTEM의 컨텍스트에서 실행됩니다.
CSE가 생성되면 다음과 같은 형식의 명령을 사용하여 REST API를 통해 현재 상태를 추가로 확인할 수도 있습니다.
이를 실행하면 클라이언트 시스템에서 실행한 프로세스가 종료될 때까지 CSE 배포가 실행 중인 상태로 유지되는 것을 확인할 수 있습니다.
CSE를 삭제하려고 시도해도 확장 프로그램을 강제 중지할 수 없으므로 이 동작을 염두에 두는 것이 중요합니다. 즉, 시스템에 대한 액세스 권한을 부여하지 않는 장기 실행 프로세스를 생성하는 CSE를 시작하고 프로세스를 종료할 수 있는 다른 메커니즘(예: 실행 명령)이 없는 경우 상자가 재부팅될 때까지 더 이상 CSE를 실행할 수 없게 될 수 있습니다. 또한 CSE를 C2 비콘을 배포하는 메커니즘으로 사용하는 경우 원래 프로세스에서 마이그레이션하여 CSE 개체를 정리할 수 있도록 하는 것이 좋습니다.
다음으로, 단순히 Notepad를 실행하는 것 이상의 좀 더 고급 CSE 실행을 하고 싶다고 가정해 봅시다. 현재 CSE를 업데이트할 수 있는 몇 가지 옵션이 있으며, 내부에서 업데이트하거나 CSE 확장을 제거하고 다시 배포할 수 있습니다. 제자리에서 업데이트하는 것이 더 간단하지만 실행 전에 어떤 형태로든 완료된 상태(예: 성공, 실패)에 있던 이전 CSE 실행에 의존합니다. 이미 존재하는 CSE를 업데이트하려면 REST API에 전달한 원본 명령을 수정한 후 다시 제출하여 생성하고, commandToExecute 속성 값을 업데이트된 명령으로 변경하면 됩니다. 이렇게 하면 실행 사이에 클라이언트 시스템에서 CSE 폴더 구조를 유지 관리할 수 있다는 추가적인 이점이 있습니다.
어떤 경우에는 실행된 프로세스가 클라이언트 시스템에서 더 이상 실행되지 않는 경우에도 CSE가 생성 중 상태에서 멈출 수 있다는 것을 발견했습니다. 이 상태를 식별하는 가장 좋은 방법은 영향을 받는 호스트의 확장 목록을 확인하는 것입니다. 예상대로 호스트의 provisioningState가 생성 중으로 표시되지만, 프로세스가 실제로 호스트를 통해 계속 실행 중인 경우 실행이 진행 중임을 나타내는 상태 메시지도 표시됩니다.
CSE가 "생성 중이지만 실제로 실행 중이 아닌" 상태인 경우 가장 좋은 방법은 다음 명령어를 사용하여 CSE를 완전히 삭제하는 것입니다(실행한 프로세스가 더 이상 실행되지 않는 것이 확실한 경우).
기본 실행 파일이 아직 실행 중일 때(예: 프록시 제어로 인해 이그레스할 수 없는 NT_AUTHORITY\SYSTEM으로 실행되는 https 비콘) CSE를 삭제하려고 해도 프로세스가 종료되지 않으며 CSE 자체도 삭제되지 않습니다. 대신, CSE 확장이 삭제 상태로 무기한 멈출 수 있으며, 제가 확인한 유일한 완전한 해결 방법은 Azure에서 하이브리드 신원 부모 개체를 삭제하고 관리되는 시스템에서 Arc 클라이언트를 제거한 다음 모든 것을 다시 설치하는 것입니다. 무섭게 들리겠지만, 일단 이 문제를 해결하고 나니 모든 것을 다시 실행하는 데 5분이면 충분했습니다.
CSE 삭제와 관련하여 명심해야 할 또 한 가지 사항은 삭제 프로세스를 수행하면 C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension 폴더가 클라이언트 시스템의 디스크에서 제거되어 해당 구조에서 업로드하거나 수정했을 수 있는 모든 파일이 지워진다는 것입니다. 또한 Azure에서 CSE 삭제 명령을 처리하는 데 3~5분 정도 걸리지만 이는 정상입니다.
CSE가 명령을 실행하는 것 외에도 할 수 있는 흥미로운 기능 중 하나는 인터넷에서 파일을 다운로드하는 것입니다. fileUris 속성의 설정 인수 아래에 파일 배열을 지정할 수 있으며, 이를 통해 C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[버전]\Downloads\[반복기] 폴더에 파일을 다운로드할 수 있습니다. 이 폴더 구조는 Azure 내에서 CSE가 삭제될 때까지 지속되며, 이때 CSE 확장과 관련된 모든 것이 디스크에서 삭제됩니다. 즉, 이 폴더에서 디스크의 다른 곳으로 파일을 복사하는 스크립트를 만들어 기존 웹 다운로드 크래들에 의존하지 않는 파일 밀수 메커니즘을 구현할 수 있습니다. 이러한 파일은 기본 디렉토리 외부로 이동한 후에도 지속되므로 디스크의 다른 곳에서 복사한 다음 후속 CSE와 함께 실행할 수 있으며, 이전에 언급한 CSE 다운로드 폴더에서의 실행 식별에 따라 정적 탐지를 중단할 수 있습니다.
성공할 수도 있고 실패할 수도 있는 이와 같은 고급 로직을 만들 때 실행 성공 여부를 나타내는 아웃풋을 검색할 수 있는 것도 도움이 됩니다. CSE 실행에서 아웃풋을 직접 복구할 수는 없지만 종료 코드가 반환되므로 프로그램의 현재 상태(예: 파일 복사 성공)에 따라 특정 코드로 종료하는 조건부 분기를 코드에 포함할 수 있습니다. 이러한 조각들을 하나로 모아 다음과 같은 기능을 하는 매우 인위적인 데모를 만들어 보겠습니다.
이러한 작업을 수행하는 간단한 PowerShell 스크립트는 다음과 같습니다.
이 스크립트를 az REST API를 통해 JSON 블롭에 전달할 수 있도록 필요한 모든 이스케이프로 형식을 지정하면 다음과 같은 명령이 표시됩니다.
위의 명령을 실행하고 실행이 완료될 때까지 잠시 기다린 후 az connectedmachine 확장자 목록 명령으로 상태를 확인할 수 있습니다. 이를 실행하면 실행에 성공했음을 나타내는 종료 코드 10이 반환됩니다. 오류 메시지는 0이 아닌 반환 코드를 나타내는 일반 메시지이므로 문제가 되지 않습니다.
원격 시스템을 확인하여 파일이 성공적으로 복사되었는지 확인할 수도 있습니다.
보시다시피 이 코드는 매우 빠르게 복잡해지기 시작합니다. 작업을 더욱 간소화하기 위해 PowerShell 스크립트를 fileUris 배열에 추가한 다음 commandToExecute 속성에서 호출하여 다운로드할 수도 있습니다.
계속 진행하기 전에 실행 지문을 변경하여 이 기법의 은밀성을 높이는 방법에 대한 마지막 아이디어를 공유하겠습니다. CSE를 통해 처음 프로세스를 시작했을 때를 기억해 보면 cmd.exe가 실행 트리의 맨 위에 나타났지만 상위 프로세스는 쉽게 볼 수 없었습니다.
이 최상위 cmd.exe 프로세스를 살펴보면 존재하지 않는 상위 프로세스 ID(PID)인 5068이 표시됩니다.
프로세스 모니터를 통해 좀 더 자세히 살펴보면, 5068의 미스터리한 상위 프로세스 ID(PPID)가 cmd /c 호출을 통해 현재 프로세스 트리를 생성한 cmd.exe의 또 다른 인스턴스라는 것을 알 수 있습니다. 이 미스터리 cmd 프로세스는 enable.cmd 스크립트 실행을 통해 PID 3588의 gc_extension_service.exe에 의해 생성되었습니다.
이 중 하나라도 중요한 이유는 무엇일까요? 현재 gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [CSE를 통해 실행하는 모든 것]의 상당히 정적인 실행 트리를 가지고 있습니다. 만약 우리가 그 체인에서 더 높은 곳에 삽입할 수 있다면, 잘 알려진 프로세스 트리 구조에서 발생하는 의심스러운 실행에 초점을 맞춘 탐지를 우회할 수 있습니다. 이 .cmd 파일은 우리가 제어하는 이벤트(CSE 생성 또는 수정)의 결과로 알려진 위치에서 NT_AUTHORITY\SYSTEM이 실행하는 서명되지 않은 스크립트이므로, 이 스크립트를 수정하여 표준 실행 흐름을 리디렉션하여 우리가 선택한 프로세스를 직접 호출할 수 있습니다. 하지만 호스트의 유일한 실행 벡터가 Arc를 통하는 것이라고 가정하면 이 파일을 수정하려면 알려진 프로세스 트리를 통해 실행해야 하므로 약간의 문제가 발생합니다. 그러나 서명되지 않은 파일에서 텍스트 수정을 수행하는 것은 다른 일반적인 악용 후 작업과 비교할 때 탐지 가능성이 훨씬 낮습니다. 이 수정(또는 다른 확장 프로그램에 적용할 수 있는 다른 유사한 수정)에 대해 더 자세히 설명하지는 않겠지만, 깔끔하게 할 수 있는 아이디어만 소개하겠습니다.
지금까지는 Azure 커넥티드 머신 리소스 관리자 역할로 구성된 과잉 프로비저닝된 서비스 주체의 관점에서 비대화형 REST API를 사용하여 발생할 수 있는 공격에 초점을 맞췄습니다. 그러나 웹 그래픽 사용자 인터페이스(GUI) 액세스 권한이 있는 계정이 있는 경우 수행할 수 있는 작업의 범위가 크게 늘어납니다. 관리되는 클라이언트에 푸시하고 코드 실행의 새로운 길을 열 수 있는 다양한 확장이 있지만, Arc를 둘러보다가 가장 관심을 끈 것은 Windows Admin Center(WAC)였습니다. Arc는 Microsoft에서 출시한 독립 실행형 원격 관리 도구인 Windows Admin Center의 백엔드 관리 구성 요소를 Arc 확장을 통해 배포할 수 있습니다. 제가 아는 한 Azure REST API를 통해 이 확장 프로그램과 직접 상호 작용할 수는 없지만, 클라이언트에 배포되면 GUI를 통해 다양한 시스템 관리 옵션이 노출됩니다.
WAC (lol) 확장이 ARC 관리 시스템에 설치되면 적절한 역할이 할당되어 있거나 자신에게 할당할 수 있다고 가정하면 관리되는 디바이스를 탐색하여 Arc 포털을 통해 직접 액세스할 수 있습니다.
적절한 액세스가 구성되면 관리 인터페이스에 연결하고 프로세스 생성, 예약된 작업 생성/수정, 서비스 수정 및 레지스트리 수정을 포함한 다양한 메커니즘을 통해 코드를 실행할 수 있습니다. 각 세부 사항에 대한 자세한 설명은 피하고 WAC를 통해 실행할 때의 몇 가지 단점을 보여주는 예로 프로세스 생성에 대해 간략하게 설명하겠습니다.
프로세스 생성은 WAC를 통해 코드를 실행하는 가장 간단한 방법일 것입니다. 시작할 프로세스(선택적 인수 포함)를 입력하고 이동을 클릭하기만 하면 됩니다.
흥미롭게도 이것은 가상 계정(WAC_[azure 사용자 이름])의 컨텍스트에서 실행되지만, 디스크의 텍스트 파일에 whoami /priv를 파이프하면 알 수 있듯이 전체 토큰 권한을 가진 무결성이 높은 컨텍스트에서 실행됩니다.
프로세스 자체는 Process.Create를 통해 수평 이동에 익숙한 사람들에게 익숙한 프로세스 트리인 WmiPrvSe.exe의 하위로 스폰됩니다. 이 방식으로 명령을 실행하면 가상 계정에 사용자 폴더가 디스크에 생성되어 정리해야 하는 IOC가 더 많이 남게 됩니다. 하지만 사용하기 쉬운 것은 확실합니다!
이러한 코드 실행 벡터 외에도 그래픽 파일 및 파일 공유 브라우징과 같은 다양한 관리 기능이 있는데, 이는 엔터프라이즈급 C2에 꼭 필요한 기능입니다.
또한 WAC에는 VM 제어판이 있어 관리 대상 시스템에 Hyper-V를 설치하고 이후에 VM을 배포 및 관리할 수 있습니다.
이 기능은 처음에는 매우 유망해 보였지만 ISO 파일을 호스트에 배포하는 방법을 알아내려고 할 때 먼저 문제에 부딪혔습니다. WAC 내의 파일 브라우저에는 업로드 기능이 내장되어 있지만, 안타깝게도 업로드 크기 한도가 상당히 낮습니다. 이는 VM을 구축하기 위해 시스템에 적절한 ISO를 가져오기 위한 폴백 메커니즘을 구현해야 한다는 것을 의미했습니다. 가상화와 관련하여 엔터프라이즈 환경에서도 발생할 수 있는 후속 문제가 발견되었습니다. 엔터프라이즈 환경의 많은 시스템은 일반적으로 가상화되므로 중첩 가상화를 허용하려면 시스템에서 Intel VT-x / AMD-V를 활성화해야 합니다.
마지막으로, 사용 가능한 관리 기능이 모두 제공되므로 파일 교체 또는 수정을 통해 Arc/WAC가 백그라운드에서 수행하는 작업을 하이재킹하여 악용 후 작업을 추가로 숨길 수 있는 흥미로운 공격이 무궁무진합니다. 이 확장 기능은 Arc 관리 클라이언트에 배포할 수 있는 많은 확장 기능 중 하나에 불과하며, 다른 확장 기능에도 유사한 코드 실행 벡터가 존재하며 추가 기능을 제공할 수 있습니다.
WAC는 자체 독립형 설치를 수행하므로 침해와 관련된 디스크 공간 및 정리 요구 사항이 크게 확장됩니다. 또한 WAC_ 계정의 컨텍스트에서 실행되는 작업은 계정에 대한 로컬 사용자 프로필이 생성되지 않더라도 사용자 폴더 생성과 같은 추가 디스크 작업이 발생합니다. 그러나 이것은 다양한 코드 실행 벡터를 여는 멋진 방법이지만, 미션 크리티컬 서버에서는 건너뛸 수 있습니다.
서비스 주체 시크릿을 복구했지만 시스템 온보딩만 허용하도록 적절하게 프로비저닝되었다고 가정해 보겠습니다. 자동 설치 또는 추가 자격 증명 자료가 포함된 구성이 시스템 다운스트림으로 푸시되는지 확인하기 위해 제어 시스템에 온보딩을 시도하는 것도 유용할 수 있습니다.
이 주제는 Andy Gill이 최근 블로그에서 Arc를 C2 메커니즘으로 사용하는 것에 대한 언급을 많이 보지 못했던 주제입니다. Arc는 합법적인 Microsoft 제품이며 Azure 내에서 잘 알려진 API 엔드포인트와 직접 통신하므로 일반적으로 엔드포인트 탐지 및 대응(EDR) 제품에서 간과하는 부분이 없다는 점에서 훌륭합니다. Arc를 통해 작동하는 것을 권장하지는 않지만, 이는 환경 내에서 대체 지속성을 위한 흥미로운 대역 외 메커니즘 역할을 합니다. 호스트가 Entra 환경에 하이브리드 조인된 경우에도 동일한 테넌트에서 호스팅되는 Arc 인스턴스에 연결할 필요가 없습니다. 실제로 이것이 의미하는 바는 아직 Arc를 통해 관리되지 않은 호스트에 높은 무결성 컨텍스트가 있는 경우 자체 Arc 클라이언트를 배포하고 자체 Azure 테넌트를 통해 관리할 수 있다는 것입니다.
Andy의 블로그는 지속성을 위해 Arc의 전반적인 사용법을 자세히 설명하고 있으므로 GUI 기반 액세스가 불가능한 경우(예: C2 에이전트를 통해 작업할 때 일반적으로 발생하는 경우)에만 운영화를 위한 몇 가지 사항을 추가하겠습니다. Arc 클라이언트 설치 프로세스를 후기합니다. Arc 클라이언트 설치 프로세스는 크게 두 부분으로 구성됩니다. 하나는 MSI 설치 프로그램을 통해 실제 클라이언트를 설치하는 것이고, 다른 하나는 Arc 커넥티드 머신 에이전트에 전달된 명령줄 인수를 통해 설치된 클라이언트를 Azure 테넌트에 연결하는 것입니다(C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). 이 프로세스의 두 단계는 다음과 같은 대략적인 구문을 사용하여 로컬 또는 원격으로(선호하는 수평 이동 코드 실행 경로 사용) 완료할 수 있습니다.
1.
2.
연결되면 시스템이 Azure 테넌트의 Arc 블레이드 내에 표시되며, az CLI, az REST API 또는 GUI를 사용하여 작업을 수행할 수 있습니다. 이제 Arc 클라이언트가 완전히 제어할 수 있는 테넌트에 연결되었으므로 이 블로그에서 다룬 범위를 벗어나는 후속 코드 실행에 사용할 수 있는 옵션이 더 다양해졌습니다.
Arc 배포에 관한 한 가지 추가 사항은 안타깝게도 먼저 기존 Arc 연결을 끊지 않고는 다른 Arc 설정의 "상단"에 연결할 수 없으며, 이 작업을 수행하려면 Azure 커넥티드 머신 리소스 관리자 역할이 필요하다는 것입니다. Arc 클라이언트를 완전히 제거한 다음 다시 설치하면 이 문제를 해결할 수 있지만, 실행이나 지속성을 위한 첫 번째 옵션은 아닙니다. 즉, 시스템에 이미 Arc가 설치되어 있는 경우 자체 테넌트에 대한 연결을 설정하는 대신 기존 연결을 통해 액세스하는 데 집중해야 합니다.
