Microsoft Azure Arc에 대한 연구는 최근 레드팀 작업 중에 온프레미스 시스템에 Arc를 배포하는 역할을 하는 하드코딩된 서비스 주체 시크릿이 포함된 PowerShell 스크립트를 발견하면서 시작되었습니다. 서비스에 대해 잘 몰랐기 때문에 복구된 자격증명으로 무엇을 할 수 있는지 연구를 시작했습니다. 결국 이 주제에 대한 이전 연구에서 문서화된 기술을 사용하여 도메인 컨트롤러에서 코드를 실행하고 다시 Microsoft Azure로 전환할 수 있게 되었지만, 이를 통해 Arc와 관련된 몇 가지 더 광범위한 질문에 대해 생각해 볼 수 있게 되었습니다. 어떻게 해야 할까요? 어떤 (잘못된) 설정이 존재해서 에스컬레이션이 가능할까요? 그 안에 어떤 다른 코드 실행 벡터가 존재하나요? 이것을 아웃 오브 밴드 지속 메커니즘으로 사용할 수 있을까요?

그렇다면 Azure Arc란 무엇인가요? 높은 수준에서는 Azure 네이티브 관리 기능을 온프레미스 시스템, Kubernetes 클러스터 및 VCenter 배포와 같은 다양한 비 Azure 리소스로 확장하여 Azure Resource Manager를 통해 이러한 시스템을 관리할 수 있습니다. 네이티브 호스트가 됩니다. Arc 에이전트가 호스트에 배포되면 Azure에 기본 리소스를 등록하고 모니터링, 정책 시행, 업데이트 관리 등의 관리 기능 제품군을 노출합니다. 그러나 가장 흥미로운 점은 NT_AUTHORITY\SYSTEM의 컨텍스트에서 신뢰할 수 있는 프로세스에서 원격으로 파일을 다운로드하고 명령을 실행할 수 있다는 점이었습니다. Arc의 일부 기능은 Intune과 겹치지만, Arc는 엔드포인트나 모바일 디바이스가 아닌 인프라 및 서버 관리를 위해 특별히 제작되었습니다.

Arc는 아주 새로운 것은 아니며(원래 2019년에 출시됨), 다른 이전 연구에서는 코드를 실행하고 환경에서 지속하는 데 어떻게 사용할 수 있는지 설명했습니다. 또한 Azure 가상 머신 공격에 대한 연구는 Arc로 구성된 온프레미스 시스템을 Azure 네이티브 가상 머신처럼 Azure에서 관리할 수 있기 때문에 Arc와 상당히 겹치는 부분이 있습니다. 이 블로그에서는 기존 연구에서 충분히 다루지 않은 영역에 초점을 맞추고, 일반적인 레드팀 워크플로 내에서 플랫폼의 공격적인 사용법을 개괄적으로 설명하고 Azure Arc 배포에 대한 방어 지침을 함께 제공함으로써 좀 더 자세한 컨텍스트를 제공하고자 합니다.