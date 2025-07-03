Mi investigación sobre Microsoft Azure Arc comenzó durante una reciente operación del equipo rojo donde encontramos un script de PowerShell que contenía un secreto principal de servicio codificado que era responsable de desplegar Arc en los sistemas on premises. No sabía mucho sobre el servicio, así que comencé a hacer un poco de investigación para determinar qué podíamos hacer con las credenciales recuperadas. Terminamos siendo capaces de utilizar técnicas documentadas en investigaciones anteriores sobre este tema para obtener la ejecución de código en un controlador de dominio y volver a pivotar en Microsoft Azure, pero esto me hizo pensar en algunas preguntas más amplias relacionadas con Arc: ¿Cómo identificarlo en entornos? ¿Qué configuraciones (erróneas) podrían existir que permitirían la escalada? ¿Qué otros vectores de ejecución de código existen dentro de él? ¿Podría utilizarse como un mecanismo de persistencia fuera de banda?
Entonces, ¿qué es Azure Arc? A un nivel general, extiende las capacidades de gestión nativa de Azure a una variedad de recursos no Azure, como sistemas on premises, clústeres de Kubernetes y despliegues de VCenter, permitiendo que estos sistemas se gestionen a través de Resource Manager de la misma manera que lo haría un host nativo de Azure. Una vez que el agente de Arc se despliega en un host, registra los recursos subyacentes en Azure y expone una suite de características de gestión: supervisión, aplicación de políticas, gestión de actualizaciones, etc. Sin embargo, lo que más me interesó fue la capacidad de usarlo para descargar archivos de forma remota y ejecutar comandos desde un proceso confiable en el contexto de NT_AUTHORITY\SYSTEM. Si bien parte de la funcionalidad de Arc se superpone con Intune, Arc está diseñado específicamente para administrar infraestructura y servidores, no endpoint o móvil.
Arc no es muy nuevo (se lanzó originalmente en 2019), y otras investigaciones anteriores han descrito cómo se puede usar para ejecutar código y persistir en entornos. Además, la investigación existente sobre atacar máquinas virtuales de Azure (VM) tiene superposiciones significativas con Arc, ya que los sistemas on premises configurados con Arc se pueden administrar en Azure de manera muy similar a una VM nativa de Azure. Con este blog, espero proporcionar un poco más de contexto centrándome en áreas no exploradas tan a fondo en la investigación existente, así como describiendo el uso ofensivo de la plataforma dentro de un flujo de trabajo típico de equipo rojo y proporcionando orientación defensiva para los despliegues de Azure Arctació
Antes de entrar en detalles sobre cómo atacar a Arc, lo configuré en un tenant de prueba para entender mejor cómo funciona el servicio y cómo es el proceso de despliegue. Como Arc es un servicio de Azure, requiere una suscripción y un grupo de recursos descendente al que adjuntar recursos gestionados; el acceso también se gestiona posteriormente a través de roles de control de acceso basado en roles (RBAC) de Azure asignados en estos ámbitos. Si desea configurar esto en su propio laboratorio, una nota adicional: deberá registrarse con los siguientes proveedores de recursos en su suscripción en Suscripciones -> (su suscripción) -> Configuración -> Proveedores de recursos:
Una vez que se cumplan estos requisitos previos, se puede usar una cuenta con los roles apropiados asignados en la suscripción asociada con Arc para acceder al servicio, donde se encuentra con una ventana de administración general.
Debido a que aún no hemos desplegado Arc en ninguna parte, pasaremos inmediatamente a la interfaz Agregar recursos. Este menú contiene opciones de despliegue y descubrimiento para una variedad de tipos de dispositivos, pero el interés más inmediato es la funcionalidad Machine, que nos permite administrar servidores Windows y Linux alojados fuera del inquilino actual de Azure. Al hacer clic en esto, se muestran una variedad de opciones de despliegue para un despliegue de host único o múltiple.
Dentro de esta interfaz, las opciones de servidor único y Windows Server con instalador son más adecuadas para despliegues únicos, y las opciones de AWS / Gestión de actualizaciones se centran más en dispositivos nativos de la nube ya gestionados a través de Azure o AWS. En este caso, estamos más interesados en la opción de despliegue de múltiples servidores, ya que es probable que esta sea la ruta más común que un administrador de TI usaría en un escenario de despliegue empresarial híbrido.
Al hacer clic en la opción de servidores múltiples, el flujo de trabajo de despliegue solicita una serie de preguntas básicas sobre la suscripción, el grupo de recursos y la región a la que se van a conectar los dispositivos gestionados por Arc. Todo es bastante sencillo hasta la parte inferior de esta página, donde se nos instruye para un director de servicio que use para el registro de dispositivos durante este despliegue. Básicamente, el siguiente bloque de texto solo indica que necesita una entidad de servicio configurada con el rol de incorporación de Azure Connected Machine para realizar un despliegue, y también le da la opción de crear una nueva entidad de servicio con el rol apropiado asignado.
En este caso, crearemos una nueva entidad de servicio Test_Arc_SP para nuestro despliegue.
A continuación, esta interfaz de creación nos pregunta qué funciones otorgamos a nuestro nuevo principal de servicio. Podemos seleccionar cualquiera de las opciones, incluido el interesante nombre de Administrador de recursos de Azure Connected Machine, sin más contexto ni advertencias sobre los privilegios que confieren estos roles.
Por último, se nos presenta uno de los cuatro mecanismos compatibles para desplegar Arc en hosts on premises, como se puede ver en la imagen a continuación. Cubriremos cada uno de estos con un poco más de profundidad en la sección Obtener acceso a Arc a continuación.
Una vez que Arc esté desplegado mediante la versión de instalación que se elija y se conecte de nuevo a Azure, el nuevo sistema cliente aparecerá en Azure Arc -> Recursos de Azure Arc.
Al pensar en el uso ofensivo de Arc, la primera pregunta que me hice fue: "Cuando entro en un entorno empresarial híbrido, ¿qué reconocimiento puedo realizar para determinar si Arc está en uso?" Estos indicadores se pueden dividir en gran medida en dos categorias: Azure y on premises.
El acceso a Arc se controla a través de Azure RBAC, lo que significa que el acceso al servicio e incluso la visibilidad básica de su uso están en gran medida fuera del alcance de los objetos no asignados a ningún rol en una suscripción asociada a un despliegue. Dicho esto, todavía hay algunos métodos indirectos que pueden permitirnos determinar si Arc está en uso e incluso en qué sistemas es probable que esté instalado que pueda identificar un usuario de Entra sin privilegios. Al seguir los pasos del proceso de despliegue anterior, hay varios puntos en los que se agregan o modifican objetos dentro de Microsoft Entra que se pueden observar para determinar si Arc está en uso dentro de un inquilino.
Primero, cuando se configura una subscripción en un tenant de Azure con los Recursos necesarios para Arc (por ejemplo, Microsoft.HybridCompute), se crearán dos Principales de Servicio titulados Servicio de token de Arc y Arc nube pública – Servidores. Esto no significa necesariamente que Arc se haya desplegado dentro de una organización, sino que al menos una suscripción en un inquilino se ha configurado de manera que el servicio sea compatible. Un ejemplo de esto se puede ver a continuación en un nuevo inquilino de Azure, antes y después de configurar los proveedores de recursos necesarios para Arc.
Continuar con el proceso de despliegue, se utiliza un principal de servicio para unir dispositivos a Arc, tal y como se describe en el proceso de despliegue explicado en la sección anterior. Podría ser una entidad de servicio existente anteriormente a la que se le hayan asignado manualmente los roles RBAC necesarios, o una entidad de servicio generada automáticamente creada a través de la interfaz de despliegue de Arc. Si un administrador creara un Service Principal directamente a través de Arc, se configuraría automáticamente con la etiqueta AzureArcSPN por Azure, que es buscable por un usuario de Entra sin privilegios, ya sea directamente desde la línea de comandos de Azure o desde la colección de resultados de ROADrecon y AzureHound.pal Si bien no proporciona evidencia concreta de que Arc se haya desplegado, una entidad de servicio configurada de esta manera mostraría que un administrador en este inquilino había interactuado al menos con los pasos del proceso de despliegue de Arc. A continuación se muestra un ejemplo de cómo crear un principal de servicio a través de Arc, así como los datos de etiquetas identificables resultantes recopilados por ROADrecon.
Finalmente, cuando un sistema se incorpora a Arc, se crea una identidad administrada dentro de Entra para la máquina y se le pueden otorgar roles tanto en Entra como en Azure como cualquier otra entidad principal de servicio. Dado que esta identidad administrada está presente en Entra, de forma predeterminada, una entidad principal sin privilegios puede enumerar los sistemas incorporados en Arc filtrando los datos de reconocimiento de Azure recopilados para buscar dispositivos con un ResourceID que contenga Microsoft.HybridCompute (tenga en cuenta que esto es diferente a un híbrido- se unió al dispositivo dentro de Entra y no debería producir ningún falso positivo). Si tiene acceso a la línea de comandos de Azure, este proceso es bastante sencillo, utilizando el siguiente comando:
Esta cadena larga de ResourceID también tiene el beneficio adicional de contener el ID de suscripción y el grupo de recursos con el que está asociado el sistema, lo que permite la identificación de múltiples despliegues de Arc que abarcan diferentes entornos.
Alternativamente, si recopiló datos de Azure a través de ROADrecon o AzureHound, puede analizar Resultados para identificar objetos administrados por Arc. Dentro de ROADrecon, la información pertinente se almacena dentro del ResourceID, y dentro de los archivos de recopilación JSON de AzureHound, la misma información se almacena dentro del atributo AlternativeNames. Si bien no parece que este atributo se copie en BloodHound o no sea accesible directamente, la búsqueda directa en el archivo JSON puede permitir la recuperación de una lista completa de objetos administrados.
Los indicadores on premises de despliegue de Arc se dividen en una de dos categorías: localhost y red. Cuando el cliente Arc se instala en un sistema, creará la carpeta C:\Program Files\AzureConnectedMachineAgent, que contiene todos los archivos pertinentes relacionados con el cliente Arc. La presencia de esta carpeta, así como de procesos y servicios relacionados con Arc (por ejemplo, gc_arc_service.exe o arcproxy.exe), puede proporcionar algunas cosas sencillas para verificar. Además, según el mecanismo de despliegue utilizado para empujar el cliente Arc a los sistemas de la red, es posible que se puedan buscar algunas cosas adicionales. Por ejemplo, si Arc se despliega a través de GPO, el proceso de configuración crea un GPO autogenerado llamado [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
Entonces, si identificamos que Arc está en uso en un entorno, ¿cómo podemos acceder a él? Para responder a esa pregunta, es importante comprender primero qué constituye específicamente el acceso que nos interesaría. Dado que el objetivo final principal del acceso suele ser ejecutar código en un endpoint gestionado, trabajar hacia atrás desde los permisos que permiten la ejecución de código hasta los roles de Azure que otorgan esos permisos puede proporcionar un buen punto de partida para las cuentas y roles que podemos tener. interesado en. Mirando hacia atrás en investigaciones anteriores de Benedikt Strobl en NSIDE Attack Logic, vemos que podemos ejecutar una consulta de PowerShell que obtendrá todos los roles que otorgan permisos que permiten al menos un mecanismo de ejecución de código a través de Arc (más adelante sobre los detalles de estos mecanismos, en la siguiente sección). La consulta y el resultado resultante se pueden ver a continuación:
Aparte de algunos roles extraños que sobresalen, como Colaborador de Log Analytics, uno de los más interesantes es el rol de Administrador de recursos de Azure Connected Machine. Si recuerda la sección anterior del proceso de despliegue de Azure Arc, este era uno de los roles que se podía asignar a la entidad de servicio creada durante el proceso de despliegue de Arc.
Básicamente, esto pone a la entidad principal de despliegue, que por necesidad probablemente tendrá su secreto accesible en la red on premises, a una sola casilla de verificación (una casilla de verificación que no tiene advertencia ni contexto adicional sobre el riesgo) lejos de ser un administrador dentro de Arc. Una entidad de servicio con este rol administrativo asignado inadvertidamente durante la creación no solo podría usarse para registrar nuevos clientes Arc dentro de Azure, sino también ejecutar comandos en cualquier cliente Arc instalado. Fue este descuido comprensible que identificamos y usamos durante nuestra reciente evaluación, lo que nos permitió escalar privilegios a través de Arc y tomar el control del entorno on premises del cliente.
Esta entidad de Service Principal de despliegue parece ser un objetivo inicial bastante bueno, especialmente si no tiene los privilegios necesarios para obtener listas de otras cuentas con los otros roles señalados que les otorgan la ejecución de código asignada. Pero, ¿cómo intentaría obtener acceso a ella? En primer lugar, y probablemente de manera más directa, si tiene una ruta dentro de Entra para obtener acceso a una entidad de Service Principal asociada con Arc agregándole un secreto (por ejemplo, propietario de la entidad de servicio, administrador de la aplicación, etc.) podría modificar directamente el objeto y luego usarlo para autenticarse, lo que podría permitirle obtener acceso privilegiado a Arc. Más allá de esto, los mecanismos de despliegue que utiliza Arc también pueden estar mal configurados o permitir la escalada a través de la recuperación del secreto de la entidad principal del servicio de despliegue. A continuación, analizaremos cada uno de los cuatro mecanismos principales de despliegue empresarial admitidos por Arc para identificar posibles rutas de escalamiento que se deben verificar.
El método de despliegue predeterminado y más básico para Arc es mediante la descarga de un script de PowerShell generado automáticamente que un administrador de TI puede ejecutar en varios sistemas. Este script extrae el instalador MSI pertinente del sitio web de Microsoft y, posteriormente, realiza la configuración de seguimiento para conectar el cliente instalado al inquilino de Azure correcto. Curiosamente, el mecanismo de autenticación predeterminado que admite este script generado automáticamente consiste en codificar de forma rígida el secreto del principal de servicio que se utiliza para el despliegue en el script.
Como este mecanismo de despliegue es tan sencillo, no hay mucho que hacer para obtener acceso aparte de estar atento durante el reconocimiento normal de recursos compartidos de archivos para scripts de PowerShell con el nombre de script predeterminado de OnboardingScript.ps1, así como scripts con nombres o contenido relacionado con Arc.
Al seleccionar Configuration Manager para el despliegue, se genera un script de PowerShell idéntico al anterior, con la principal diferencia de que Arc proporciona orientación adicional sobre cómo desplegar el script directamente a través de System Center Configuration Manager (SCCM) de Microsoft, ya sea mediante una ejecución directa del script o como una secuencia de tareas.
Aunque estos son los dos mecanismos recomendados para el despliegue, un administrador de TI puede usar alternativamente algún otro mecanismo de despliegue a través de SCCM, como la instalación de un paquete o aplicación. Independientemente de la opción de despliegue en uso, es importante tener en cuenta el concepto de colecciones dentro de SCCM, que sirven como objetivo para el despliegue de secuencias de tareas y (opcionalmente) scripts. Es probable que intentar recuperar datos SCCM de un host aleatorio en el entorno no produzca grandes resultados porque, si el host no es miembro de la colección adecuada, no podrá recuperar la información pertinente en la mayoría de los casos. En cambio, moverse primero lateralmente a un host que se ha identificado como un cliente Arc (o incluso mejor, un punto de gestión SCCM o un servidor de base de datos) y luego realizar el reconocimiento SCCM probablemente tendrá mejores resultados.
SCCM Configuration Manager contiene una funcionalidad que permite a los administradores ejecutar scripts de PowerShell en sistemas gestionados. El cliente SCCM no extrae los scripts de la misma manera que las secuencias de tareas o los paquetes; más bien, se expulsan del servidor bajo demanda a los sistemas cliente. Para probar esto, podemos crear un script simple en SCCM Configuration Manager utilizando el script de despliegue de Arc generado automáticamente. Dejaremos el secreto sin resolver por ahora, ya que el sistema en el que estamos desplegando ya tiene Arc instalado.
Cuando el script se despliega a través de SCCM, se copiará en el directorio C:\Windows\CCM\ScriptStore en el sistema cliente y se configurará con una lista de control de acceso discrecional (DACL) que restringe el acceso solo a NT_AUTHORITY\SYSTEM, antes de ser ejecutado por el cliente SCCM. Los archivos de esta carpeta se limpian periódicamente según las configuraciones específicas de cada instancia, pero sin duda vale la pena comprobar si este u otros scripts pueden contener datos confidenciales.
Alternativamente, si obtiene acceso a la base de datos de SCCM, puede recuperar directamente todos los scripts creados en SCCM empleando el módulo ScriptData en SQLRecon. A continuación, se puede ver un ejemplo del resultado de la ejecución de ese módulo en la base de datos del sitio para una instancia de SCCM configurada con un script para desplegar Arc.
Siendo realistas, el despliegue a través de un script SCCM probablemente no sea muy probable en la práctica, ya que la ejecución del script SCCM es un proceso manual y puntual. Si se ponen en línea nuevos servidores y es necesario agregarlos a Arc en cualquier momento en el futuro, un administrador deberá recordar ingresar nuevamente y volver a ejecutar el script para aplicarlo a sistemas adicionales.
Un proceso de despliegue más automatizado y escalable sería a través de una secuencia de tareas aplicada a una colección SCCM. Para probar este mecanismo, podemos crear una secuencia de tareas simple que ejecute el script de despliegue de Arc y desplegarlo en una colección SCCM que contenga un sistema desde el que estamos ejecutando.
Tras desplegar este script, podemos ejecutar el comando get secrets en SharpSCCM para recuperar secuencias de tareas accesibles que contienen scripts, ya que las políticas que contienen scripts tienen la bandera secreta agregada.
La propiedad SourceScript dentro de la política pertinente contiene una representación b64 del script original que se pasa. Al convertirlo de nuevo a texto sin formato, podemos recuperar el script original.
De manera similar a las opciones disponibles al recuperar un script, si tenemos acceso a la base de datos del sitio SCCM, también podemos recuperar directamente los datos de la secuencia de tareas mediante SQLRecon.
El despliegue de Arc a través de la directiva de grupo es un poco más complicado que los dos mecanismos anteriores y consta de varios pasos que comienzan con la configuración de un recurso de red compartido al que puede apuntar el script, ejecutado a través de un objeto de directiva de grupo (GPO). La guía oficial establece que todas las computadoras del dominio deben tener acceso de lectura y escritura para compartir, lo que significa que si este mecanismo de despliegue está en uso, el secreto de la entidad de servicio debe poder recuperarse de cualquier contexto NT_AUTHORITY\SYSTEM en el dominio.
Después de configurar el recurso compartido y descargar + copiar a través del MSI del cliente de Arc, el siguiente paso consiste en descargar un repositorio de GitHub que contiene scripts de PowerShell y archivos DLL asociados que se utilizan para crear automáticamente el GPO.
Por último, se genera un script de PowerShell que llama a los archivos descargados de GitHub, con argumentos basados en la ubicación del recurso compartido de despliegue de Arc configurado previamente.
La ejecución de este script de PowerShell resultante hará que se cree un GPO, que crea una tarea programada que instala el cliente Arc utilizando los archivos alojados en el recurso compartido de red de despliegue y lo conecta a Azure. Este GPO se puede vincular posteriormente a una unidad organizativa (OU) que contiene sistemas para desplegar Arc.
Si se identifica un GPO que coincide con esta convención de nomenclatura durante el reconocimiento estándar de Active Directory, los archivos de GPO se pueden revisar para determinar la ubicación de la red compartida que contiene los archivos de despliegue.
Con algún tipo de acceso en el contexto de NT_AUTHORITY\SYSTEM, este recurso compartido se puede navegar de forma remota (si se creó con el acceso predeterminado/recomendado por MS), que se verá así:
Lo más interesante es el archivo encryptedServicePrincipalSecret, que tiene un nombre muy llamativo. Echar un vistazo al script EnableAzureArc.ps1 muestra que este secreto es un blob cifrado mediante DPAPI-NG.
DPAPI-NG (o Cryptographic Próxima Generación [CNG] DPAPI) permite no solo la funcionalidad de cifrado y descifrado DPAPI específica del usuario o de la máquina, sino que también permite operaciones basadas en las membresías de un objeto. Por ejemplo, en este caso, el blob DPAPI-NG dentro de EncryptedServicePrincipalSecret está configurado para permitir que cualquier miembro del grupo de equipos de dominio lo desencripte. Reuní un script de PowerShell súper simple como prueba de concepto, pero debería ser bastante sencillo traducir el código de AzureArcDeployment.psm1 (que en sí mismo es solo un contenedor alrededor del código .NET) en un ensamblaje que se pueda ejecutar en memoria en una baliza en el contexto de NT_AUTHORITY\SYSTEM para recuperar y descifrar el secreto.
Por último, toda la demás información de conexión pertinente, como el ID de entidad de servicio, el ID de suscripción, etc., se puede encontrar en el archivo ArcInfo.json, que también se encuentra en el mismo despliegue compartido.
La última opción de despliegue oficial genera un playbook de Ansible muy similar a los scripts de PowerShell mencionados anteriormente. Los detalles de atacar a Ansible variarán bastante según la configuración y el entorno y, como resultado, no ampliaremos más este mecanismo de despliegue.
Si bien Arc admite la gestión de hosts Linux, los métodos de despliegue disponibles directamente en la hoja de Arc en Azure se inclinan en gran medida hacia los dispositivos basados en Windows. Los despliegues de Linux son compatibles mediante el uso de un script bash, pero al igual que los despliegues de Ansible, es probable que presenten un grado mucho mayor de variación cuando se aplican en un entorno empresarial.
De ahora en adelante, supongamos que recuperamos exitosamente el secreto de un principal de servicio y que este principal de servicio (u otra cuenta recuperada) tiene privilegios de ejecución dentro de Arc. Dado que el propósito de Arc es exponer los dispositivos on premises al plano de control de Azure, una variedad de primitivas de ejecución de código normalmente asociadas con las máquinas virtuales de Azure entran en el alcance para obtener acceso a los hosts on premises que tienen instalado el cliente Arc. Sin embargo, centrarse en las vías de ejecución que solo requieren los permisos específicos de Arc mencionados anteriormente ofrece dos amplias categorías de acciones de ejecución: ejecutar comandos y adiciones/modificaciones de extensiones. Ambos vectores de ejecución funcionan de manera prácticamente idéntica a una ejecución equivalente contra una VM de Azure y han sido documentados extensamente por otros en blogs/herramientas anteriores, por lo que no profundizaremos demasiado en los detalles más allá del uso operativo y algunas peculiaridades interesantes que son como está ampliamente documentado.
El comando de ejecución es una especie de pseudoextensión que comparte muchas de las características en disco y los detalles del árbol de ejecución con otras extensiones, pero se instala automáticamente junto con Arc y no aparece en la lista de extensiones instaladas de un sistema gestionado. Esta capacidad permite ejecutar comandos de forma sencilla en un cliente gestionado a través de Arc, siendo el principal requisito previo que la versión del cliente sea >= 1.33. Puede verificar esto con el comando az connectedmachine show, como se muestra a continuación.
Tenga en cuenta que intentar ejecutar un comando a través de la línea de comandos az (CLI) requiere no solo los permisos de escritura mencionados anteriormente, sino también privilegios de lectura en el grupo de recursos, que de forma predeterminada no tendrá una entidad de servicio generada automáticamente. En consecuencia, intentar ejecutar un comando directamente desde la CLI de az genera un error.
Esto se puede omitir interactuando directamente con la API REST de Azure, aunque no será posible recuperar el resultado de los comandos ejecutados. En este ejemplo, crearemos un trabajo de ejecución llamado run-notepad que simplemente inicia notepad.exe en el sistema cliente.
El comando que se pasa se escribe en un script de PowerShell en la carpeta C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads, con un nombre correspondiente al nombre del trabajo de ejecución creado dentro de Arc y, en última instancia, se ejecutan en el contexto de NT_AUTHORITY\SYSTEM.
Este script de PowerShell no se elimina automáticamente al finalizar la ejecución, aunque las ejecuciones adicionales de un trabajo de ejecución con el mismo nombre harán que se elimine el script original y se cree uno nuevo con un sufijo iterado, como se ve a continuación.
Además de este script, se crean varios otros archivos en el disco durante la ejecución de cada comando de ejecución. Estos se tratarán con mayor profundidad en la sección de orientación defensiva.
Además, tenga en cuenta que un comando de ejecución crea un objeto dentro de Azure que debe eliminarse posteriormente una vez que se completa la ejecución. Como esta acción no se lee a nivel de grupo de recursos, se puede ejecutar directamente a través de la CLI de az.
Los clientes de Arc pueden aumentar su funcionalidad mediante la instalación de una variedad de extensiones aprobadas por Microsoft, de manera similar a las máquinas virtuales de Azure. La extensión de la que se abusa con mayor frecuencia es Custom Script Extension (CSE) para Windows, que permite tanto la ejecución de comandos arbitrarios como la descarga de archivos de Internet. Sin embargo, otras extensiones ofrecen diferentes árboles de ejecución que pueden ayudar a evadir una detección estática centrada en la ejecución de un CSE. A continuación, veremos la ejecución a través de un CSE, así como la extensión del Centro de administración de Windows.
Suponiendo que se ejecuta en el contexto de una entidad de servicio aprovisionada con el rol de administrador de recursos de Azure Connected Machine en una suscripción con configuración predeterminada, una vez más deberá enviar comandos a través de la API REST de Azure. Antes de la ejecución, una advertencia de la ejecución basada en extensiones es que solo se puede desplegar una única copia de una extensión en un host en un momento dado, lo que significa que si ya se agregó un CSE al host de destino, deberá actualizar la extensión existente, en lugar de crear una nueva extensión. La lista de extensiones instaladas actualmente en un host se puede recuperar de la CLI de az con lo siguiente:
En este caso, aún no hay extensiones instaladas en este host:
Se requieren varios argumentos al crear un CSE, el más importante de los cuales es el protectedSettings arg, ya que contiene un atributo commandToExecute opcional. Como corresponde, este atributo es donde se colocan los argumentos de ejecución de comandos. A continuación se puede ver un ejemplo de comando az CLI que puede ejecutar contra la API REST para crear un CSE que inicie Notepad:
Ejecutar esto una vez más da como resultado una ejecución en el contexto de NT_AUTHORITY\SYSTEM.
Una vez que se ha creado un CSE, también puede verificar su estado actual a través de la API REST, utilizando un comando con el siguiente formato:
Al ejecutar esto, podemos ver que el despliegue de CSE permanece en un estado de ejecución hasta que el proceso que lanzó finaliza en el sistema cliente.
Es importante tener en cuenta este comportamiento, ya que las extensiones no se pueden detener a la fuerza, incluso intentando eliminar el CSE. Esto significa que si lanza un CSE que genera un proceso de larga duración que no le otorga acceso al sistema, y no tiene otro mecanismo (como ejecutar comandos) que le permita terminar el proceso, podría potencialmente bloquearse de más ejecuciones de CSE hasta que se reinicie la caja. Además, si utiliza un CSE como mecanismo para desplegar una baliza C2, se recomienda migrar fuera del proceso de origen para poder limpiar el objeto CSE.
Continuando, digamos que queremos hacer algo un poco más avanzado con nuestra ejecución de CSE que simplemente ejecutar el Bloc de notas. Existen varias opciones para actualizar nuestro CSE actual, y podemos actualizar en su lugar o eliminar la extensión de CSE y volver a desplegar. La actualización in situ es más sencilla, pero depende de que la ejecución anterior de CSE esté en algún tipo de estado completado (por ejemplo, correcto, fallido) antes de la ejecución. Para actualizar un CSE ya existente, simplemente puede modificar y volver a enviar el comando original que pasó a la API REST para crearlo, cambiando el valor del atributo commandToExecute al comando actualizado. Esto tiene el beneficio adicional de mantener la estructura de carpetas de CSE en el sistema cliente entre ejecuciones.
Descubrí que, en algunos casos, el CSE puede quedar bloqueado en un estado de creación, incluso cuando el proceso que ha ejecutado ya no se está ejecutando en el sistema cliente. La mejor manera que he encontrado para identificar este estado es comprobando la lista de extensiones en el host afectado, que previsiblemente mostrará el host en un estado de aprovisionamiento de creación, pero si un proceso sigue ejecutándose a través del host, también verá un mensaje de estado que indica que se está produciendo la ejecución.
Si encuentra su CSE en este estado "Creando, pero no ejecutándose", el mejor enfoque es eliminarlo por completo (si está seguro de que el proceso que ejecutó con él ya no se está ejecutando), lo que se puede lograr con lo siguiente comando:
Intentar eliminar un CSE cuando el ejecutable subyacente aún se está ejecutando (por ejemplo, una baliza https que se ejecuta como NT_AUTHORITY\SYSTEM que no puede salir debido a los controles de proxy) no hará que el proceso se cierre, ni que el CSE se elimine a sí mismo. En cambio, puede provocar que la extensión CSE se atasque en un estado de eliminación indefinidamente, y la única corrección completa que identifiqué fue eliminar el objeto principal de identidad híbrida de Azure, desinstalar el cliente Arc del sistema administrado y reinstalar todo. Suena aterrador, pero una vez que descubrí esto, fue como un proceso de cinco minutos para que todo volviera a funcionar.
Otra cosa a tener en cuenta con respecto a la eliminación de CSE: el proceso de eliminación elimina la carpeta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension del disco del sistema cliente, borrando cualquier archivo que haya cargado o modificado en esa estructura. Además, se tarda de tres a cinco minutos en procesar el comando de eliminación de CSE en Azure; esto es normal.
Una de las cosas interesantes que puede hacer un CSE además de ejecutar comandos es descargar archivos de Internet. Se puede especificar un array de archivos bajo el arg de configuración en el fileUris attrib, que permite descargar archivos a la carpeta C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator]. Esta estructura de carpetas persiste hasta que se elimina el CSE dentro de Azure, momento en el que todo lo relacionado con la extensión de CSE se elimina del disco. Esto significa que podría crear un script que copiaría archivos de esta carpeta a otra parte del disco, lo que permitiría un mecanismo para el contrabando de archivos que no dependa de una base de descarga web tradicional. Como estos archivos persisten una vez que se mueven fuera del directorio predeterminado, podrían copiarse y luego ejecutarse con un CSE posterior desde otro lugar del disco, rompiendo una detección estática que depende de la identificación de ejecuciones de la carpeta de descargas de CSE anotada anteriormente.
Al crear una lógica más avanzada como esta, que puede tener éxito o no, también es útil poder recuperar resultados que indiquen si una ejecución fue exitosa o no. Si bien no podemos recuperar directamente el resultado de las ejecuciones de CSE, se devuelven códigos de salida, lo que significa que podemos incluir ramificaciones condicionales en nuestro código que sale con un código específico basado en el estado actual del programa (por ejemplo, copia de archivo exitosa). Juntando todas estas piezas, montemos una demostración muy artificial que haga lo siguiente:
Un script sencillo de PowerShell que realice estas tareas tendría un aspecto similar al siguiente:
Al formatear esto con todos los escapes necesarios para permitir que este script se pase en un blob JSON a través de la API az REST, obtenemos un comando similar al siguiente:
Ejecutamos lo anterior y, después de esperar un minuto a que se complete la ejecución, podemos verificar su estado con el comando az connectedmachine extension list. Al ejecutar esto, vemos que obtenemos un código de salida 10, lo que indica que la ejecución se ha realizado correctamente. El mensaje de error es un mensaje genérico que indica un código de retorno distinto de cero, lo cual no nos concierne.
Al revisar el sistema remoto, también podemos verificar que los archivos se hayan copiado correctamente.
Como podemos ver, este código comienza a complicarse con bastante rapidez. Para agilizar aún más las cosas, también sería posible descargar un script de PowerShell añadiéndolo a la matriz fileUris y luego llamándolo desde el atributo commandToExecute.
Antes de mover, déjenme compartir una última idea sobre cómo podría aumentar el sigilo de esta técnica cambiando su huella digital de ejecución. Si recuerda nuestro lanzamiento inicial del proceso a través de CSE, cmd.exe apareció en la parte superior del árbol de ejecución, sin ningún proceso principal visible.
Echar un vistazo a este proceso cmd.exe superior muestra un ID de proceso principal (PID) inexistente de 5068.
Podemos profundizar un poco más con Process Monitor, mostrando que nuestro misterioso ID de proceso principal (PPID) de 5068 era otra instancia de cmd.exe, que creó nuestro árbol de procesos actual a través de una llamada cmd /c. Este misterioso proceso cmd fue generado por gc_extension_service.exe en el PID 3588 al ejecutar el script enable.cmd.
¿Por qué es importante todo esto? Bueno, actualmente, tenemos un árbol de ejecución bastante estático desde gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [lo que sea que ejecutemos a través de CSE]. Si pudiéramos insertarnos más arriba en esa cadena, podríamos eludir las detecciones que se centran en ejecuciones sospechosas que provienen de esa conocida estructura de árbol de procesos. Como este archivo .cmd es solo un script sin firmar que NT_AUTHORITY\SYSTEM ejecuta desde una ubicación conocida como resultado de un evento que controlamos (crear o modificar un CSE), sería posible modificar este script para redirigir el flujo de ejecución estándar directamente llamar a un proceso de nuestra elección. Sin embargo, suponiendo que nuestro único vector de ejecución en el host sea a través de Arc, presenta un pequeño problema de huevo y gallina, ya que necesitaríamos ejecutar a través de un árbol de procesos conocido para modificar este archivo. Sin embargo, realizar modificaciones de texto en un archivo sin firmar tiene un perfil de detectabilidad mucho más bajo en comparación con otras acciones típicas posteriores a la explotación. No entraré en más detalles sobre esta modificación (u otras modificaciones similares que podrían hacerse a otras extensiones), sino solo una idea de algo bueno que podría hacer.
Hasta este momento, nos hemos centrado en los ataques que son posibles mediante la API REST no interactiva desde el punto de vista de una entidad de servicio sobreaprovisionada configurada con el rol de administrador de recursos de Azure Connected Machine. Sin embargo, si tenemos una cuenta que tiene acceso a la interfaz gráfica de usuario (GUI) web, el alcance de lo que se puede hacer aumenta sustancialmente. Hay una variedad de extensiones que se pueden enviar a clientes administrados y abrir nuevas vías de ejecución de código, pero cuando estaba hurgando dentro de Arc, una que terminó siendo de mayor interés para mí fue Windows Admin Center (WAC). Arc puede desplegar el componente de gestión de back-end del Centro de administración de Windows, una herramienta de gestión remota independiente lanzada por Microsoft, VIA una extensión de Arc. Que yo sepa, no es posible interactuar directamente con esta extensión VIA la API REST de Azure, pero una variedad de opciones de administración del sistema están expuestas VIA la GUI una vez desplegadas en un cliente.
Una vez que la extensión WAC (lol) se ha instalado en un sistema gestionado por Arc, se puede acceder directamente a través del portal de Arc navegando en el dispositivo gestionado, suponiendo que tenga asignado el rol adecuado (o que pueda asignárselo usted mismo).
Con el acceso adecuado configurado, puede conectarse a la interfaz de gestión y ejecutar código a través de una variedad de mecanismos diferentes, incluida la creación de procesos, la creación/modificación de tareas programadas, la modificación de servicios y la modificación del registro. Evitaré entrar en los detalles de cada uno de estos, pero analizaré rápidamente la creación de procesos como ejemplo que demuestra algunas de las peculiaridades de la ejecución a través de WAC.
La creación de procesos es probablemente la forma más sencilla de ejecutar código a través de WAC, simplemente ingrese un proceso para comenzar (con argumentos opcionales) y haga clic en Ir.
Curiosamente, esto se ejecuta en el contexto de una cuenta virtual (WAC_[su nombre de usuario de Azure ]), pero en un contexto de alta integridad con privilegios de token completos, como se puede ver al canalizar un whoami /priv a un archivo de texto en el disco.
El proceso en sí mismo se genera como un proceso secundario de WmiPrvSe.exe. un árbol de procesos familiar para aquellos familiarizados con el movimiento lateral a través de Process.Create. Cuando se ejecuta un comando de esta manera, la cuenta virtual tiene una carpeta de usuario creada para él en el disco, dejando aún más IOC que deben limpiarse. ¡Pero seguro que es fácil de usar!
Además de estos vectores de ejecución de código, existen otras características de gestión, como la navegación gráfica de archivos y archivos compartidos, una característica imprescindible para su propio C2 de nivel empresarial.
WAC también tiene un panel de control de VM, que permite la instalación de Hyper-V en el sistema gestionado y, posteriormente, el despliegue y la gestión de VM.
Inicialmente, esta característica parecía muy prometedora, pero primero me encontré con problemas al intentar descubrir cómo desplegar un archivo ISO en el host. El navegador de archivos dentro de WAC tiene una funcionalidad de carga incorporada, pero lamentablemente tiene un límite bastante bajo en el tamaño de carga. Esto significaba que era necesario implementar un mecanismo alternativo para obtener una ISO adecuada en el sistema con el fin de crear una máquina virtual. Se encontraron problemas posteriores que probablemente también se presentarían en un entorno empresarial con respecto a la virtualización anidada. Dado que muchos sistemas en un entorno empresarial suelen estar virtualizados, Intel VT-x / AMD-V tendría que estar habilitado en el sistema para permitir la virtualización anidada.
Finalmente, con todas estas características de administración disponibles, no faltan ataques interesantes que podría realizar mediante el reemplazo o modificación de archivos para secuestrar cosas que Arc / WAC están haciendo en segundo plano para enmascarar aún más cualquier acción posterior a la explotación. Recuerde que esta es solo una de las muchas extensiones disponibles para desplegar a clientes gestionados por Arc; sin duda, existen vectores de ejecución de código similares en otras que pueden ofrecer más funcionalidades.
Tenga en cuenta que WAC realiza sus propias instalaciones independientes y, por lo tanto, aumenta considerablemente el footprint y los requisitos de limpieza asociados a un compromiso. Además, las acciones que se ejecutan en el contexto de una cuenta WAC_ darán como resultado acciones adicionales en el disco, como la creación de una carpeta de usuario, aunque no se genera ningún perfil de usuario local para la cuenta. Dicho esto, si bien esto sirve como una Avenue que abre un montón de vectores de ejecución de código, puede ser algo que me salteé en un servidor de misión crítica.
Supongamos que ha recuperado un secreto de entidad de servicio, pero que se ha aprovisionado correctamente para permitir únicamente la incorporación de sistemas. Todavía puede valer la pena intentar incorporar un sistema que usted controla para ver si alguna instalación o configuración automatizada que contenga material de credenciales adicional se envía a su sistema.
Este es un tema del que no vio mucha mención hasta el reciente blog de Andy Gill sobre el uso de Arc como mecanismo C2. Arc es genial porque es un producto legítimo de Microsoft y se comunica directamente con endpoints API conocidos dentro de Azure, lo que significa que normalmente pasa desapercibido por los productos de Detección y respuesta de endpoints (EDR). Aunque no recomiendo intentar operar a través de Arc, sirve como un mecanismo fuera de banda interesante para la persistencia de respaldo dentro de un entorno. Incluso si un host está unido de forma híbrida a un entorno de Entra, no es necesario que se conecte a una instancia de Arc alojada en el mismo inquilino. Realmente, lo que esto significa es que si tiene un contexto de alta integridad en un host que aún no está administrado a través de Arc, puede desplegar su propio cliente Arc y administrarlo a través de su propio inquilino de Azure.
Como el blog de Andy hace un gran trabajo al detallar el uso general de Arc para la persistencia, solo agregaré un pequeño punto para la operatividad cuando el acceso basado en GUI no sea posible (como lo que sería típico cuando se opera a través de un agente C2). Al revisar los comentarios de despliegue, el proceso de instalación del cliente de Arc consta en gran medida de dos partes: la instalación del cliente real a través de un instalador MSI y la conexión del cliente instalado a un inquilino de Azure a través de argumentos de línea de comandos pasados al Arc Connected Machine Agent (C:\ Program Files\AzureConnectedMachineAgent\azcmagent.exe). Ambos pasos de este proceso se pueden completar de forma local o remota (utilizando su vía de ejecución de código de movimiento lateral preferida) desde un contexto de línea de comandos no interactivo, utilizando la sintaxis aproximada de:
Un punto adicional sobre el despliegue de Arc: desafortunadamente, no puede conectarse "por encima" de otra configuración de Arc sin desconectar primero la conexión de Arc existente, una operación que requiere el rol de Administrador de Recursos de Azure Connected Machine. Probablemente podría solucionar esto desinstalando completamente y luego reinstalando el cliente Arc, pero esa no sería mi primera opción para la ejecución o la persistencia. Realmente, lo que esto significa es que si un sistema ya tiene Arc instalado, debe enfocarse en obtener acceso a él a través de la conexión existente, en lugar de intentar configurar una conexión con su propio inquilino en él.
Nota: esta lista no pretende contener una lista exhaustiva de todas las investigaciones relacionadas con el uso ofensivo de Arc; más bien, contiene una lista de artículos y charlas que me ayudaron a comprender la plataforma, así como los vectores de ataque disponibles a través de ella.
