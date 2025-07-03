بدأ بحثي حول Microsoft Azure Arc خلال عملية الفريق الأحمر حيث عثرنا على سكريبت PowerShell يحتوي على سر Service Principal المبرمج بشكل صلب كان مسؤولاً عن نشر Arc على الأنظمة المحلية. لم أكن أعرف الكثير عن الخدمة، لذا بدأت البحث لمعرفة ما يمكننا فعله بالبيانات المسترجعة. تمكنا في النهاية من استخدام تقنيات موثقة في أبحاث سابقة حول هذا الموضوع للحصول على تنفيذ الرمز البرمجي على وحدة تحكم النطاق ثم العودة إلى Microsoft Azure، لكن هذا جعلني أفكر في بعض الأسئلة الأوسع المتعلقة ب Arc: كيف تحدد ذلك في البيئات؟ ما التكوينات (الخاطئة) التي يمكن أن توجد والتي من شأنها أن تسمح بالتصعيد؟ ما هي متجهات تنفيذ التعليمات البرمجية الأخرى الموجودة داخله؟ هل يمكن استخدامه كآلية ثبات خارج النطاق؟
إذًا، ما هو Azure Arc؟ على مستوى عالٍ، يوسع قدرات إدارة Azure الأصلية لتشمل مجموعة متنوعة من الموارد غير Azure مثل الأنظمة المحلية، ومجموعات Kubernetes العنقودية، ونشر VCenter—مما يسمح بإدارة هذه الأنظمة عبر Azure Resource Manager بنفس الطريقة التي يتعامل بها مضيف Azure الأصلي. بمجرد نشر وكيل Arc على المضيف، يسجل الموارد الأساسية في Azure ويعرض مجموعة من ميزات الإدارة: المراقبة، تطبيق السياسات، إدارة التحديثات، وغيرها. ومع ذلك، كان الأمر الأكثر أهمية بالنسبة لي هو القدرة على استخدامه لتنزيل الملفات عن بُعد وتشغيل الأوامر من عملية موثوق بها في سياق NT_AUTHORITY \ SYSTEM. بينما بعض وظائف Arc تتداخل مع Intune، فإن Arc مصمم خصيصاً لإدارة البنية التحتية والخوادم، وليس لنقطة النهاية أو الأجهزة المحمولة.
Arc ليس جديدًا للغاية (تم إصداره في الأصل في عام 2019)، وقد أوضح البحث السابق كيف يمكن استخدامه لتنفيذ التعليمات البرمجية والاستمرار في البيئات. علاوة على ذلك، فإن البحث الحالي حول مهاجمة الأجهزة الافتراضية (VMs) لها تداخلات كبيرة مع Arc، حيث يمكن إدارة الأنظمة المحلية المهيأة بـ Arc في Azure بطريقة مشابهة لجهاز افتراضي أصلي في Azure. من خلال هذه المدونة، آمل أن أقدم مزيداً من السياق من خلال التركيز على مجالات لم يتم استكشافها بشكل كامل في البحث، بالإضافة إلى توضيح الاستخدام الهجومي للمنصة ضمن سير العمل النموذجي وتقديم إرشادات دفاعية مصاحبة لنشر Azure Arc.
قبل الخوض في مهاجمة Arc، قمتُ بإعداده في مستأجر اختباري للحصول على فهم أفضل لكيفية عمل الخدمة وشكل عملية النشر. نظرًا لأن Arc هي خدمة Azure، فإنها تتطلب اشتراكًا ومجموعة موارد نهائية لإرفاق الموارد المدارة بها؛ كما تتم إدارة الوصول لاحقًا من خلال أدوار التحكم في الوصول المستند إلى الأدوار (RBAC) في Azure المعينة على هذه النطاقات. إذا كنت تتطلع إلى إعداد هذا في مختبرك الخاص، ملاحظة إضافية واحدة - ستحتاج إلى التسجيل مع موفري الموارد التاليين في اشتراكك ضمن الاشتراكات -> (اشتراكك) -> الإعدادات -> موفري الموارد:
وبمجرد استيفاء هذه المتطلبات الأساسية، يمكن استخدام حساب بالأدوار المناسبة المخصصة في الاشتراك المرتبط بـ Arc للوصول إلى الخدمة، حيث يتم توفير نافذة إدارة عامة.
لأننا لم ننشر Arc في أي مكان بعد، سننتقل فوراً إلى واجهة إضافة الموارد . تحتوي هذه القائمة على خيارات نشر واكتشاف لأنواع مختلفة من الأجهزة، لكن الأكثر أهمية هو وظيفة الجهاز التي تتيح لنا إدارة خوادم Windows و Linux المستضافة خارج مستأجر Azure الحالي. يؤدي النقر فوق هذا إلى إظهار مجموعة متنوعة من خيارات النشر لنشر مضيف واحد أو متعدد.
وضمن هذه الواجهة، تكون خيارات Single server (خادم فردي) وWindows Server with installer (Windows Server مع أداة تثبيت) أكثر ملاءمة لعمليات النشر مرة واحدة، وتركز خيارات AWS / Management (إدارة التحديثات) بشكل أكبر على الأجهزة السحابة الأصلية التي تتم إدارتها بالفعل من خلال Azure أو AWS. في هذه الحالة، نحن مهتمون بشكل خاص بخيار نشر الخوادم المتعددة، لأنه من المرجح أن يكون المسار الأكثر شيوعاً الذي يستخدمه مسؤول تكنولوجيا المعلومات في سيناريو النشر المؤسسي الهجين.
عند النقر على خيار الخوادم المتعددة، يطرح سير عمل النشر مجموعة متنوعة من الأسئلة الأساسية حول الاشتراك، ومجموعة الموارد، والمنطقة التي يجب ربط الأجهزة المدارة بواسطة Arc بها. كل شيء واضح جداً حتى أسفل هذه الصفحة، حيث نُوجَّه لاستخدام مدير خدمة لتسجيل الجهاز أثناء هذا النشر. تنص الكتلة النصية أدناه بشكل أساسي على أنك تحتاج فقط إلى مدير خدمة تم تكوينه مع دور Azure Connected Machine Onboarding للقيام بعملية نشر، كما أنها تمنحك خيار إنشاء مدير خدمة جديد مع تعيين الدور المناسب.
في هذه الحالة، سنقوم بإنشاء مدير خدمة جديد Test_Arc_SP لعمليات النشر الخاصة بنا.
بعد ذلك، تسأل واجهة الإنشاء هذه عن الأدوار التي نمنحها لمدير الخدمة الجديد لدينا. يمكننا تحديد أي من الخيارات، بما في ذلك المسمى المثير للاهتمام "مسؤول موارد الأجهزة المتصلة في Azure"، دون أي سياق أو تحذيرات أخرى حول الامتيازات التي تمنحها هذه الأدوار.
أخيرًا، تظهر لنا واحدة من أربع آليات مدعومة لنشر Arc على المضيفين المحليين، كما هو موضح في الصورة أدناه. سنغطي كلًا من هذه الآليات بمزيد من التعمق في قسم الحصول على حق الوصول إلى Arc أدناه.
بمجرد تنفيذ Arc عبر أي نوع من التثبيت يتم اختياره واتصاله مرة أخرى ب Azure، سيظهر نظام العميل الجديد تحت Azure Arc -> الموارد.
عند التفكير في الاستخدام الهجومي لنظام Arc، كان السؤال الأول الذي وجدت نفسي أسأله هو "عند الدخول في بيئة مؤسسية هجينة، ما الذي يتم إعادة تنفيذه لتحديد ما إذا كان Arc قيد الاستخدام؟" يمكن تقسيم هذه المؤشرات إلى فئتين — Azure ومحلي.
يتم التحكم في الوصول إلى Arc عبر Azure RBAC، مما يعني أن الوصول إلى الخدمة وحتى الرؤية الأساسية لاستخدامها خارج نطاق الكائنات التي لا تخصص لها أدوار في اشتراك مرتبط بنشر Arc. ومع ذلك، لا تزال هناك بعض الطرق غير المباشرة التي تتيح لنا تحديد ما إذا كان Arc قيد الاستخدام أم لا، وحتى الأنظمة التي من المحتمل أن يتم تثبيتها عليها يمكن تحديدها من قِبل مستخدم Entra لا يحمل أي مزايا. عند السير في خطوات عملية النشر المذكورة أعلاه، هناك العديد من النقاط التي تتم فيها إضافة أو تعديل الكائنات داخل Microsoft Entra والتي يمكن ملاحظتها لتحديد ما إذا كان Arc قيد الاستخدام داخل المستأجر.
أولا، عند تكوين اشتراك في مستأجر Azure مع مزودي الموارد اللازمين ل Arc (مثل Microsoft.HybridCompute)، سيتم إنشاء اثنين من مديري الخدمة بعنوان Arc Token Service و Arc Public Cloud – Servers . هذه لا تعني بالضرورة أن Arc قد تم نشره فعلياً داخل مجموعة، بل أن اشتراكاً واحداً على الأقل في المستأجر قد تم تهيئته بطريقة تدعم الخدمة. يمكن رؤية مثال على ذلك أدناه في مستأجر Azure جديد، قبل وبعد تكوين مزودي الموارد اللازمين ل Arc.
وبالاستمرار خلال عملية النشر، يستخدم مدير الخدمة لربط الأجهزة بـ Arc، كما هو موضح في عملية النشر التي تم تناولها في القسم السابق. يمكن أن يكون هذا إما مدير خدمة موجود مسبقاً تم تعيين الأدوار اللازمة له يدوياً من خلال نظام RBAC، أو مدير خدمة تم إنشاؤه تلقائياً من خلال واجهة نشر Arc. إذا قام أحد المسؤولين بإنشاء مدير خدمة مباشرةً من خلال Arc، فسيتم تكوينه تلقائيًا بعلامة AzureArcSPN من قبل Azure، والتي يمكن البحث عنها بواسطة مستخدم Entra لا يحمل امتيازات إما مباشرةً من سطر أوامر Azure أو من داخل نتائج التجميع من ROADrecon و AzureHound. وبينما لا يقدم ذلك دليلاً ملموساً على أن Arc قد تم نشره فعليا، فإن تعيين مدير الخدمة بهذه الطريقة سيظهر أن مسؤولاً في هذا المستأجر قد تفاعل على الأقل مع خطوات عملية نشر Arc. يمكن الاطلاع أدناه على مثال لإنشاء مبدأ الخدمة من خلال Arc، بالإضافة إلى بيانات العلامة الناتجة القابلة للتحديد التي تم جمعها بواسطة ROADrecon.
وأخيرًا، عند تشغيل النظام على Arc، يتم إنشاء هوية مُدارة داخل Entra للجهاز ويمكن منحها أدوارًا في كل من Entra و Azure مثل أي مدير خدمة رئيسي آخر. ونظرًا لوجود هذه الهوية المُدارة داخل Entra، يمكن للمدير غير الحاصل على امتيازات بشكل افتراضي تعداد الأنظمة المضمنة في Arc عن طريق تصفية بيانات إعادة Azure المجمعة للبحث عن الأجهزة باستخدام ResourceID الذي يحتوي على Microsoft.HybridCompute (لاحظ أن هذا يختلف عن الهجين- جهاز متصل داخل Entra ولا ينبغي أن يؤدي إلى أي نتائج إيجابية كاذبة). إذا كانت لديك إمكانية الوصول إلى سطر أوامر Azure، فستكون هذه العملية واضحة ومباشرة باستخدام الأمر التالي:
هذه السلسلة الطويلة من ResourceID لها أيضا ميزة إضافية تتمثل في احتواء معرف الاشتراك ومجموعة الموارد المرتبطة بالنظام، مما يسمح بتحديد عدة عمليات نشر Arc عبر بيئات مختلفة.
وبدلاً من ذلك، إذا كنت قد جمعت بيانات Azure عبر ROADrecon أو AzureHound، يمكنك تحليل النتائج لتحديد الكائنات المُدارة بواسطة Arc. داخل ROADrecon، يتم تخزين المعلومات ذات الصلة داخل ResourceID، وداخل ملفات مجموعة AzureHound JSON، يتم تخزين نفس المعلومات داخل سمة AlternativeNames. في حين أنه لا يبدو أن هذه السمة منسوخة في BloodHound أو لا يمكن الوصول إليها بشكل مباشر، فإن البحث المباشر في ملف JSON يمكن أن يسمح باستعادة قائمة كاملة من الكائنات المدارة.
تنقسم مؤشرات نشر Arc المحلية إلى فئتين: المضيف المحلي والشبكة. عندما يتم تثبيت عميل Arc على نظام ما، فإنه سيتم إنشاء المجلد C:\Program Files\AzureConnectedMachineAgent، والذي يحتوي على كافة الملفات ذات الصلة المتعلقة بعميل Arc. وجود هذا المجلد، بالإضافة إلى العمليات والخدمات المتعلقة بـ Arc (على سبيل المثال،gc_arc_service.exe أو Arcproxy.exe)، يمكن أن يوفر بعض الأشياء المباشرة التي يجب التحقق منها. بالإضافة إلى ذلك، استنادًا إلى آلية النشر المستخدمة لدفع عميل Arc إلى الأنظمة على الشبكة، قد تكون هناك بعض الأشياء الإضافية التي يمكن البحث عنها. على سبيل المثال، إذا تم نشر Arc عبر GPO، فإن عملية الإعداد تنشئ GPO تلقائيا باسم [MSFT] Azure Arc Servers Onboarding(DateTimeOfGPOCreation).
حسنًا، إذا حددنا أن Arc قيد الاستخدام في بيئة ما، كيف يمكننا الوصول إليها؟ للإجابة عن هذا السؤال، من المهم أن نفهم أولاً ما الذي يشكل حق الوصول الذي قد نهتم به على وجه التحديد. نظرًا لأن الهدف الأساسي من الوصول عادةً هو تنفيذ التعليمات البرمجية على نقطة نهاية مُدارة، فإن العمل بشكل عكسي من الأذونات التي تسمح بتنفيذ التعليمات البرمجية إلى أدوار Azure التي تمنح هذه الأذونات يمكن أن يوفر نقطة بداية جيدة جدًا للحسابات والأدوار التي قد نكون مهتمين بها. بالرجوع إلى البحث السابق الذي أجراه Benedikt Strobl في NSIDE Attack Logic، نرى أنه يمكننا تشغيل استعلام PowerShell الذي سيحصل على جميع الأدوار التي تمنح الأذونات التي تمكّن آلية واحدة على الأقل من تنفيذ التعليمات البرمجية من خلال Arc (سيأتي المزيد من التفاصيل حول تفاصيل هذه الآليات في القسم التالي). يمكن رؤية الاستعلام والمخرجات الناتجة أدناه:
بخلاف بعض الأدوار الغريبة التي تبرز، مثل دور "مساهم تحليلات السجل"، فإن أحد أكثر الأدوار إثارة للاهتمام هو دور "مسؤول موارد الآلة المتصلة في Azure". إذا كنت تتذكر من قسم عملية نشر Azure Arc السابق، فقد كان هذا أحد الأدوار التي يمكن تعيينها لمدير الخدمة الذي تم إنشاؤه أثناء عملية نشر Arc.
وهذا يضع بشكل أساسي مدير خدمة النشر، الذي من المحتمل بالضرورة أن يكون سره متاحًا على الشبكة المحلية، خانة اختيار واحدة (خانة اختيار لا تحتوي على تحذير أو سياق إضافي بشأن المخاطر) بعيدًا عن كونه مسؤولاً داخل Arc. لا يمكن استخدام مدير خدمة مع هذا الدور الإداري الذي تم تعيينه عن غير قصد أثناء الإنشاء لتسجيل عملاء Arc الجدد داخل Azure فحسب، بل يمكن أيضًا تشغيل الأوامر على أي عميل Arc مثبت. لقد كان هذا السهو المفهوم هو ما اكتشفناه واستفدنا منه خلال التقييم الأخير، مما سمح لنا بتصعيد الامتيازات من خلال Arc والاستيلاء على بيئة العميل المحلية.
يبدو أن مدير خدمة النشر هذا يمثل هدفًا أوليًا جيدًا جدًا، خاصة إذا لم يكن لديك الامتيازات اللازمة للحصول على قوائم الحسابات الأخرى مع الأدوار الأخرى المذكورة التي تمنح تنفيذ التعليمات البرمجية المخصصة لها. لكن كيف تحاول الوصول إليه؟ أولاً، وربما بشكل مباشر، إذا كان لديك مسار داخل Entra للوصول إلى مدير خدمة مرتبط بـ Arc عبر إضافة سر إليه (مثل مالك مدير الخدمة، مدير التطبيق، إلخ) يمكنك تعديل الكائن مباشرة ثم استخدامه للمصادقة، مما قد يسمح لك بالحصول على وصول مميز إلى Arc. علاوة على ذلك، يمكن أيضاً أن تكون آليات النشر التي يستخدمها Arc غير مضبوطة أو تسمح بالتصعيد عبر استرداد سر الخدمة الرئيسي لنشر. سنقوم بعد ذلك بإلقاء نظرة على كل آلية من آليات النشر الأساسية الأربع التي تدعمها Arc لتحديد مسارات التصعيد المحتملة للتحقق منها.
الطريقة الافتراضية والأكثر أساسية لنشر Arc هي من خلال تنزيل البرنامج النصي لـ PowerShell الذي يتم توليده تلقائياً والذي يمكن لمسؤول تكنولوجيا المعلومات تشغيله عبر عدة أنظمة. يسحب هذا البرنامج النصي أداة تثبيت MSI ذات الصلة من موقع Microsoft على الويب، ثم يقوم بعد ذلك بإجراء تكوين المتابعة لربط العميل المثبت بمستأجر Azure الصحيح. من المضحك إلى حد ما أن آلية المصادقة الافتراضية المدعومة داخل هذا البرنامج النصي الذي يتم إنشاؤه تلقائيًا هي ترميز سر مدير الخدمة الذي يتم استخدامه للنشر في البرنامج النصي.
نظراً لأن آلية النشر هذه بسيطة جداً، لا يوجد الكثير من المصادر للحصول على الوصول سوى مراقبة البرامج النصية لـ PowerShell العادية التي تحمل اسم البرنامج النصي الافتراضي OnboardingScript.ps1 أثناء استكشاف مشاركة الملفات العادية، بالإضافة إلى البرامج النصية التي تحمل أسماء أو محتوى متعلق بـ Arc.
يؤدي تحديد مدير التكوين للنشر إلى إنشاء برنامج نصي لـ PowerShell مطابق للبرنامج النصي المذكور أعلاه، مع وجود اختلاف رئيسي يتمثل في أن Arc يوفر إرشادات إضافية حول كيفية نشر البرنامج النصي مباشرةً من خلال "إدارة تكوين مركز النظام" (SCCM) من Microsoft، إما عن طريق تشغيل البرنامج النصي مباشرةً أو كتسلسل مهام.
على الرغم من أن هذه هي الآليات الموصى بها للنشر، فقد يستخدم مسؤول تكنولوجيا المعلومات آلية نشر أخرى بدلاً من ذلك من خلال SCCM، مثل تثبيت الحزمة أو التطبيق. وبغض النظر عن خيار النشر المستخدم، من المهم أن نضع في الاعتبار مفهوم المجموعات داخل SCCM، والتي تعد النطاق المستهدف لنشر تسلسلات المهام والبرامج النصية (بشكل اختياري). من غير المرجح أن تؤدي محاولة استرداد بيانات SCCM من مضيف عشوائي في البيئة إلى نتائج رائعة لأنه إذا لم يكن المضيف عضوًا في المجموعة المناسبة، فلن يكون قادرًا على استرداد المعلومات ذات الصلة في معظم الحالات. بدلاً من ذلك، فقد يؤدي الانتقال أولاً بشكل جانبي إلى مضيف تم تحديده على أنه عميل Arc (أو الأفضل من ذلك، نقطة إدارة SCCM أو خادم قاعدة بيانات) ثم إجراء عملية استطلاع SCCM إلى الحصول على نتائج أفضل.
يحتوي مدير تكوين SCCM على وظائف تسمح للمسؤولين بتشغيل البرامج النصية لـ PowerShell على الأنظمة المُدارة. لا يسحب عميل SCCM البرامج النصية بنفس طريقة تسلسل المهام أو حزم المهام ؛ بل يتم إخراجها من الخادم عند الطلب إلى أنظمة العميل. لاختبار ذلك، يمكننا بناء برنامج نصي بسيط في مدير تكوين SCCM باستخدام البرنامج النصي الخاص بنشر Arc الذي تم توليده تلقائياً. سنترك السر غير مكتمل في الوقت الحالي، حيث أن النظام الذي ننشره مثبت عليه بالفعل Arc.
عندما يتم نشر البرنامج النصي من خلال SCCM، سيتم نسخه إلى دليل C:\Windows\CCM\ScriptStore على نظام العميل وتكوينه بقائمة تحكم وصول تقديرية (DACL) تقيد الوصول إلى NT_AUTHORITY\SYSTEM فقط، قبل تشغيله من قبل عميل SCCM. يتم تنظيف الملفات الموجودة في هذا المجلد بشكل دوري بناءً على التكوينات الخاصة بالمثيلات، ولكن من المؤكد أن الأمر يستحق التحقق من هذه البرامج النصية أو غيرها من النصوص التي قد تحتوي على بيانات حساسة.
بدلاً من ذلك، إذا تمكنت من الوصول إلى قاعدة بيانات SCCM، يمكنك استرداد جميع البرامج النصية التي تم إنشاؤها في SCCM مباشرةً باستخدام الوحدة النمطية ScriptData في SQLRecon. يمكن الاطلاع أدناه على مثال لمخرجات تشغيل هذه الوحدة النمطية مقابل قاعدة بيانات الموقع لمثيل SCCM مهيأ باستخدام برنامج نصي لنشر Arc.
من الناحية الواقعية، من المحتمل ألا يكون النشر عبر البرنامج النصي SCCM مرجحًا جدًا من الناحية العملية، حيث أن تنفيذ البرنامج النصي SCCM هو عملية يدوية في الوقت المناسب. إذا تم إحضار خوادم جديدة عبر الإنترنت وتحتاج إلى إضافتها إلى Arc في أي وقت في المستقبل، فسوف يحتاج المسؤول إلى تذكر الانتقال مرة أخرى وإعادة تشغيل النص البرمجي لتطبيقه على أنظمة إضافية.
عملية نشر أكثر تلقائية وقابلة للتوسع ستكون من خلال تسلسل مهام مطبق على مجموعة SCCM. لاختبار هذه الآلية، يمكننا إنشاء تسلسل مهام بسيط يشغل برنامج نصي لنشر Arc ونشره في مجموعة SCCM تحتوي على نظام نعمل منه.
بعد نشر هذا البرنامج النصي، يمكننا تشغيل أمر الحصول على كلمات السر في SharpSCCM لاستعادة تسلسلات المهام المتاحة التي تحتوي على البرامج النصية، حيث أن السياسات التي تحتوي على برامج نصية لها علم كلمة السر مرفق بها.
تحتوي خاصية SourceScript ضمن السياسة ذات الصلة على تمثيل b64 للنص الأصلي الذي يتم تمريره إليه. وتحويله مرة أخرى إلى نص عادي يتيح لنا استرداد النص الأصلي.
على غرار الخيارات المتاحة عند استرداد برنامج نصي، إذا كان لدينا إمكانية الوصول إلى قاعدة بيانات موقع SCCM، فيمكننا أيضًا استرداد بيانات تسلسل المهام مباشرةً باستخدام SQLRecon.
نشر Arc عبر سياسة المجموعة (Group Policy) أكثر تعقيداً قليلاً من الآليتين السابقتين ويتكون من عدة خطوات تبدأ بإعداد مشاركة شبكة يمكن للبرنامج النصي، الذي يعمل عبر كائن سياسة المجموعة (GPO)، الإشارة إليها. تنص الإرشادات الرسمية بشكل مفيد على أن جميع حواسيب المجال يجب أن تكون لديها وصول قراءة وكتابة لهذه المشاركة، مما يعني أنه إذا كانت آلية نشر هذه قيد الاستخدام، يجب أن يكون سر مدير الخدمة قابلاً للاسترداد من أي سياق NT_AUTHORITY\SYSTEM في المجال.
بعد إعداد المشاركة والتنزيل + النسخ عبر MSI عميل Arc، تتضمن الخطوات التالية تحميل مستودع GitHub يحتوي على برامج نصية لـ PowerShell وDLLs المرتبطة بها تستخدم لإنشاء GPO تلقائياً.
أخيرًا، يتم إنشاء البرنامج النصي PowerShell الذي يستدعي الملفات التي تم تنزيلها من GitHub، مع الوسائط المستندة إلى موقع مشاركة نشر Arc التي تم إعدادها مسبقًا.
تشغيل هذا البرنامج النصي الناتج من PowerShell يؤدي إلى إنشاء GPO، والذي ينشئ مهمة مجدولة تقوم بتثبيت عميل Arc باستخدام الملفات المستضافة على مشاركة شبكة النشر وربطها بـ Azure. يمكن ربط كائن GPO هذا لاحقاً بوحدة تنظيمية (OU) تحتوي على أنظمة ليتم نشر Arc عليها.
إذا تم تحديد GPO يطابق هذا النمط من التسمية أثناء الاستطلاع القياسي في Active Directory، يمكن مراجعة ملفات GPO لتحديد موقع مشاركة الشبكة التي تحتوي على ملفات النشر.
مع وجود نوع من الوصول في سياق NT_AUTHORITY\SYSTEM، يمكن تصفح هذه المشاركة عن بعد (if created with the default / MS-recommended access)، والتي ستبدو كما يلي:
من أكثر الملفات أهميةً هو ملف EncryptedServicePratabases بوضوح شديد. يُظهر إلقاء نظرة على برنامج EnableAzureArc.ps1 النصي أن هذا السر عبارة عن كائن ثنائي مشفّر باستخدام DPAPI-NG.
DPAPI-NG (أو DPAPI الجيل التالي [CNG]) يسمح ليس فقط بوظائف التشفير وفك التشفير الخاص بالمستخدم أو الآلة، بل يسمح أيضاً بالعمليات المعتمدة على عضويات الكائن. على سبيل المثال، في هذا المثيل، يتم تكوين كائن الكثافة الثنائية الكبيرة DPAPI-NG داخل EncryptedServicePratabasesSecrate للسماح لأي عضو في مجموعة أجهزة كمبيوتر المجال بفك تشفيرها. لقد جمعتُ سيناريو PowerShell بسيطًا للغاية كإثبات للمفهوم، ولكن يجب أن يكون واضحًا تمامًا ترجمة التعليمات البرمجية من AzureArcDeployment.psm1 (والتي تعد في حد ذاتها مجرد غلاف حول رمز .NET) في تجميع يمكن تشغيله في الذاكرة في منارة في سياق NT_AUTHORITY \ SYSTEM لاسترداد وفك تشفير السر.
أخيرًا، جميع معلومات الاتصال الأخرى ذات الصلة، مثل معرف الخدمة، معرف الاشتراك، وغيرها، يمكن العثور عليها في ملف ArcInfo.json الموجود أيضًا في نفس النشر.
الخيار الرسمي النهائي للنشر يولد دليل تشغيل Ansible مشابه جداً للبرامج النصية PowerShell التي تم تناولناها أعلاه. تفاصيل مهاجمة Ansible ستختلف كثيراً حسب الإعداد والبيئة، ونتيجة لذلك، لن نتوسع أكثر في آلية نشر هذه.
بينما يدعم Arc إدارة مضيفي Linux، فإن طرق النشر المتاحة مباشرة في شفرة Arc في Azure تميل بشكل كبير نحو الأجهزة التي تعمل بنظام Windows. يتم دعم نشر Linux من خلال استخدام برنامج نصي bash، ولكن على غرار نشر Ansible، من المحتمل أن يكون هناك درجة أعلى بكثير من التباين فيها عند تطبيقها في بيئة المؤسسة.
من الآن فصاعدًا، لنفترض أننا تمكنا من استرداد سر أحد مسؤولي الخدمة، وأن مدير الخدمة هذا (أو حساب آخر مسترد) لديه امتيازات تنفيذ داخل Arc. نظراً لأن الهدف الكامل من Arc هو تعريض الأجهزة المحلية لمستوى التحكم في Azure، فإن مجموعة متنوعة من أساسيات تنفيذ الرمز البرمجي المرتبطة عادة بأجهزة Azure الافتراضية تدخل في نطاق الحصول على المضيفين المحليين الذين تم تثبيت عميل Arc عليهم. ومع ذلك، فإن التركيز على طرق التنفيذ التي تتطلب فقط الأذونات الخاصة بـ Arc المذكورة أعلاه يمنح فئتين رئيسيتين من إجراءات التنفيذ—أوامر التشغيل وإضافات/تعديلات الامتدادات. يعمل كل من متجهي التنفيذ بشكل متطابق إلى حد كبير مع عملية تنفيذ مكافئة على Azure VM وقد تم توثيقهما بإسهاب من قِبل آخرين في مدونات / أدوات سابقة، لذلك لن نتعمق كثيرًا في التفاصيل المتعلقة بهما بما يتجاوز الاستخدام التشغيلي وبعض المراوغات الدقيقة التي لا توجد. كما أنها موثقة على نطاق واسع.
يعد أمر التشغيل نوعًا من الإضافات الزائفة التي تشترك في العديد من الخصائص الموجودة على القرص وخصائص شجرة التنفيذ مع ملحقات أخرى ولكن يتم تثبيتها تلقائيًا جنبًا إلى جنب مع Arc ولا تظهر في قائمة الإضافات المثبتة لنظام مُدار. تتيح هذه القدرة طريقة مباشرة لتشغيل الأوامر على عميل تتم إدارته من خلال Arc، مع شرط أساسي هو أن يكون إصدار العميل >= 1.33. يمكنك التحقق من ذلك باستخدام الأمر az connectedmachine show، كما هو موضح أدناه.
لاحظ أن محاولة تشغيل أمر من خلال سطر الأوامر az (CLI) لا يتطلب فقط أذونات الكتابة المذكورة سابقاً، بل يتطلب أيضاً امتيازات القراءة على مجموعة الموارد، والتي لن يمتلكها افتراضياً مدير الخدمة الذي يتم إنشاؤه تلقائياً. نتيجة لذلك، محاولة تشغيل أمر مباشرة من az CLI تؤدي إلى خطأ.
يمكن تجاوز ذلك من خلال التفاعل مع واجهة برمجة تطبيقات Azure REST مباشرةً، على الرغم من أنه لن يكون من الممكن استرداد المخرجات من الأوامر المنفذة. في هذا المثال، سننشئ مهمة تشغيل باسم Run-Notepad تقوم فقط ببدء تشغيل notepad.exe على نظام العميل.
يتم كتابة الأمر الذي تم تمريره إلى البرنامج النصي PowerShell في المجلد C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\[version]\Downloads، مع اسم يتوافق مع اسم مهمة التشغيل كما تم إنشاؤها داخل Arc وتشغيلها في النهاية في سياق NT_AUTHORITY\SYSTEM.
لا يتم حذف هذا البرنامج النصي PowerShell تلقائيًا عند انتهاء التنفيذ، على الرغم من أن عمليات التنفيذ الإضافية لمهمة التشغيل التي تحمل الاسم نفسه ستؤدي إلى حذف النص البرمجي الأصلي وإنشاء آخر جديد بلاحقة متكررة، كما هو موضح أدناه.
بالإضافة إلى هذا البرنامج النصي، يتم إنشاء العديد من الملفات الأخرى على القرص أثناء كل تنفيذ لأمر التشغيل. سيتم تغطية هذه الأمور بتعمق أكبر في قسم التوجيهات الدفاعية.
بالإضافة إلى ذلك، ضع في اعتبارك أن أمر التشغيل يُنشئ كائنًا داخل Azure يحتاج إلى حذفه لاحقًا بمجرد اكتمال التنفيذ. بما أن هذا الإجراء لا يُقرأ على مستوى مجموعة الموارد، يمكن تشغيله مباشرةً من خلال واجهة برمجة التطبيقات az CLI.
يمكن لعملاء Arc تعزيز وظائفهم من خلال تثبيت مجموعة متنوعة من الملحقات المعتمدة من Microsoft، على غرار أجهزة Azure الافتراضية. الملحق الأكثر إساءة استخدامًا هو ملحق البرنامج النصي المخصص (CSE) لنظام التشغيل Windows، والذي يسمح بتنفيذ الأوامر العشوائية وتنزيل الملفات من الإنترنت. ومع ذلك، تقدم ملحقات أخرى أشجار تنفيذ مختلفة قد تساعد في التهرب من الكشف الثابت الذي يركز على تنفيذ CSE. سنقوم بعد ذلك بإلقاء نظرة على كل من التنفيذ عبر CSE، بالإضافة إلى ملحق مركز مسؤول Windows.
بافتراض أنك تعمل في سياق مسؤول خدمة رئيسي تم تزويده بدور مسؤول موارد الآلة المتصلة في Azure في اشتراك بإعدادات افتراضية، ستحتاج مرة أخرى إلى إرسال الأوامر من خلال واجهة برمجة تطبيقات REST الخاصة بـ Azure. قبل التنفيذ، هناك تحذير في التنفيذ القائم على الملحقات وهو أنه يمكن نشر نسخة واحدة فقط من الملحقات على المضيف في أي وقت، مما يعني أنه إذا تمت إضافة CSE إلى المضيف المستهدف، فستحتاج إلى تحديث الملحق الحالي بدلاً من إنشاء ملحق جديد. يمكن استرجاع قائمة الملحقات المثبتة حاليًا على المضيف من واجهة سطر الأوامر (z CLI) باستخدام ما يلي:
في هذه الحالة، لا توجد ملحقات مثبتة حتى الآن على هذا المضيف:
يلزم وجود مجموعة من الوسيطات عند إنشاء CSE، وأهمها وسيطة protectSettings، لأنها تحتوي على سمة CommandToExecution اختيارية. بشكل مناسب، هذه السمة هي المكان الذي يوضع فيه وسيط تنفيذ الأوامر. يمكن الاطلاع على مثال لأمر az CLI يمكن تشغيله على واجهة برمجة التطبيقات REST لإنشاء محرك بحث مخصص (CSE) يقوم بتشغيل برنامج المفكرة (Notepad) أدناه:
تشغيل هذا مرة أخرى يؤدي إلى تنفيذ في سياق NT_AUTHORITY\SYSTEM.
بمجرد إنشاء CSE، يمكنك أيضًا التحقق من حالته الحالية من خلال واجهة برمجة تطبيقات REST، باستخدام أمر منسق على النحو التالي:
من خلال تشغيل هذا، يمكننا أن نرى أن عملية نشر CSE تظل في حالة تنفيذ حتى يتم إنهاء العملية التي أطلقتها على نظام العميل.
ومن المهم وضع هذا السلوك في الاعتبار حيث لا يمكن فرض إيقاف الملحقات، حتى عند محاولة حذف CSE. وهذا يعني أنه إذا قمت بتشغيل CSE التي تفرز عملية طويلة الأمد لا تمنحك الوصول إلى النظام، وليس لديك آلية أخرى (مثل أوامر التشغيل) تسمح لك بإيقاف العملية، فمن المحتمل أن تتعرض لحظر نفسك وإبعادها عن عمليات تنفيذ CSE الإضافية حتى يُعاد تشغيل الصندوق. بالإضافة إلى ذلك، إذا كنت تستخدم CSE كآلية لنشر منارة C2، فمن المستحسن الترحيل من العملية الأصلية حتى تتمكن من تنظيف كائن CSE.
بالمضي قدمًا، لنفترض أننا نريد القيام بشيء أكثر تقدمًا في تنفيذ CSE من مجرد تشغيل Notepad. توجد العديد من الخيارات لتحديث محرك البحث المخصص الحالي، ويمكننا إما التحديث في مكانه أو إزالة ملحق CSE وإعادة النشر. ويُعد التحديث الحالي أبسط من ذلك، ولكنه يعتمد على أن يكون تنفيذ CSE السابق في شكل حالة مكتملة (على سبيل المثال، نجح، أو فشل) قبل التشغيل. لتحديث أمر CSE موجود بالفعل، يمكنك ببساطة تعديل الأمر الأصلي الذي مررته إلى واجهة برمجة تطبيقات REST لإنشاء الأمر وإعادة إرساله، وتغيير قيمة سمة CommandToExecute إلى أي أمر محدث. وهذا له فائدة إضافية وهي الحفاظ على هيكل مجلدات CSE على نظام العميل بين عمليات التنفيذ.
لقد وجدتُ أنه في بعض الحالات، يمكن أن يتم تعليق CSE في حالة جارٍ الإنشاء حتى عندما لا تكون العملية التي قام بتنفيذها قيد التشغيل على نظام العميل. إن أفضل طريقة وجدتها لتحديد هذه الحالة هي التحقق من قائمة الملحقات على المضيف المتأثر، والتي ستظهر كما هو متوقع للمضيف في حالة provisioningState هي جارٍ الإنشاء، ولكن إذا كانت العملية لا تزال فعليًا قيد التنفيذ من خلال المضيف، فسوف تحتاج أيضًا إلى تدوين رسالة حالة توضح أن التنفيذ جارٍ.
إذا وجدت CSE في حالة "الإنشاء، ولكن ليس قيد التشغيل بالفعل"، فإن أفضل طريقة هي حذفها بالكامل (إذا كنت متأكدًا من أن العملية التي نفذتها بها لم تعد تعمل)، والذي يمكن إنجازه من خلال الأمر التالي:
إن محاولة حذف CSE عندما يكون الملف التنفيذي الأساسي لا يزال قيد التشغيل (على سبيل المثال، منارة https قيد التشغيل باسم NT_AUTHORITY \ SYSTEM التي لا يمكنها الخروج بسبب عناصر تحكم الوكيل) لن تتسبب في إنهاء العملية، ولن تتسبب في حذف CSE نفسها . بدلاً من ذلك، قد يؤدي ذلك إلى تعلّق ملحق CSE في حالة حذف إلى أجل غير مسمى، مع المعالجة الوحيدة التي حددتها هي حذف كائن Hybrid Identity الأب من Azure، وإزالة عميل Arc من النظام المدار، وإعادة تثبيت كل شيء. يبدو الأمر مخيفًا، ولكن بمجرد أن اكتشفت ذلك، استغرقت خمس دقائق لإعادة كل شيء وتشغيله مرة أخرى.
شيء آخر يجب أخذه في الاعتبار فيما يتعلق بحذف محركات البحث الخاصة (CSEs): عملية الحذف تزيل المجلد C:\Packages\Plugins\Microsoft.Compute.Compute.CustomScriptExtension من قرص نظام العميل، مما يؤدي إلى مسح أي ملفات قد تكون قمت بتحميلها أو تعديلها في تلك البنية. وعلاوة على ذلك، فإن الأمر يستغرق من ثلاث إلى خمس دقائق لمعالجة أمر حذف CSE في Azure ؛ هذا أمر طبيعي.
أحد الأشياء المثيرة للاهتمام التي يمكن أن يقوم بها محرك البحث الخاص (CSE) بالإضافة إلى تنفيذ الأوامر هو تنزيل الملفات من الإنترنت. يمكن تحديد مصفوفة من الملفات تحت حجة الإعدادات في سمة fileUris، والتي تسمح بتنزيل الملفات إلى المجلد C:\Packages\Plugins\Microsoft.Compute.CustomScriptExtension\[version]\Downloads\[iterator]. وتستمر بنية المجلد هذه حتى يتم حذف CSE داخل Azure، وعندها يتم حذف كل ما يتعلق بملحق CSE من القرص. وهذا يعني أنه يمكنك إنشاء برنامج نصي يقوم بنسخ الملفات من هذا المجلد إلى مكان آخر على القرص، وهو ما يسمح بوجود آلية لتهريب الملفات التي لا تعتمد على حامل تنزيل الويب التقليدي. وبما أن هذه الملفات تبقى بعد نقلها خارج الدليل الافتراضي، يمكن نسخها ثم تشغيلها مع CSE لاحق من مكان آخر على القرص، مما يؤدي إلى كسر الكشف الثابت المعتمد على تحديد عمليات التنفيذ من مجلد تنزيلات CSE المذكور سابقاً.
عند إنشاء منطق أكثر تقدمًا مثل هذا، والذي قد ينجح أو لا ينجح، من المفيد أيضًا أن تكون قادرًا على استرداد المخرجات التي تشير إلى ما إذا كان التنفيذ ناجحًا أم لا. على الرغم من أننا لا نستطيع استرداد المخرجات مباشرةً من عمليات تنفيذ CSE، إلا أنه يتم إرجاع رموز الخروج، مما يعني أنه يمكننا تضمين التفريع الشرطي في التعليمات البرمجية التي نستخدمها والتي يتم الخروج منها بتعليمات برمجية محددة بناءً على الحالة الحالية للبرنامج (على سبيل المثال، نسخ ملف ناجح) . بتجميع هذه الأجزاء معًا، دعنا ننظم عرضًا توضيحيًّا مذهلًا للغاية يقوم بما يلي:
سيبدو البرنامج النصي PowerShell البسيط الذي ينجز هذه الأشياء مثل:
عند تنسيق هذا الأمر مع جميع أحرف الهروب الضرورية للسماح بتمرير هذا النص البرمجي في JSON blob عبر واجهة برمجة تطبيقات az REST، نحصل على أمر يبدو كالتالي:
قمنا بتشغيل ما سبق، وبعد الانتظار لمدة دقيقة حتى يكتمل التنفيذ، يمكننا التحقق من حالته باستخدام أمر az connectedmachine extension list يُظهر تشغيل هذا أننا حصلنا على رمز خروج 10، مما يشير إلى التنفيذ الناجح. رسالة الخطأ هي رسالة عامة تشير إلى رمز إرجاع غير صفري، وهو أمر لا يعنينا.
عند التحقق من النظام البعيد، يمكننا أيضاً التحقق من أن الملفات قد تم نسخها بنجاح.
كما نرى، يبدأ هذا الرمز بالتعقيد بسرعة كبيرة. لتبسيط الأمور بشكل أكبر، سيكون من الممكن أيضًا تنزيل برنامج PowerShell النصي عن طريق إضافته إلى مصفوفة FileUris ثم استدعائه من السمة CommandToExecution.
قبل أن نمضي قدمًا، دعني أشارك فكرة أخيرة حول كيفية زيادة التخفي لهذه التقنية بتغيير بصمة التنفيذ. إذا كنت تتذكر من إطلاقنا الأولي للعملية عبر CSE، cmd.exe ظهر في أعلى شجرة التنفيذ، دون وجود عملية رئيسية مرئية بوضوح.
يُظهر إلقاء نظرة على عملية cmd.exe في الجزء العلوي من هذه العملية معرف عملية أصل غير موجود (PID) يبلغ 5068.
يمكننا التعمّق أكثر قليلاً باستخدام "مراقبة العمليات"، حيث يظهر لنا أن معرّف العملية الأصلية الغامض (PPID) البالغ 5068 كان مثيلًا آخر لـ cmd.exe، والذي أنشأ شجرة العمليات الحالية من خلال استدعاء cmd /c. تم إنشاء عملية cmd الغامضة هذه نفسها بواسطة gc_extension_service.exe في PID 3588 من خلال تشغيل البرنامج النصي enable.cmd.
لماذا يهم أي من هذا؟ حسنًا، لدينا حاليًا شجرة تنفيذ ثابتة إلى حد ما من gc_extension_service -> cmd.exe -> cmd.exe -> CustomScriptHandler.exe -> cmd.exe -> [أيًا كان ما نقوم بتشغيله عبر CSE]. إذا تمكنا من إدخال أنفسنا في مرتبة أعلى في تلك السلسلة، يمكننا تجاوز عمليات الكشف التي تركز على عمليات التنفيذ المشبوهة التي تأتي من بنية شجرة العمليات المعروفة. حيث أن ملف .cmd هذا هو مجرد برنامج نصي غير موقع يتم تشغيله بواسطة NT_AUTHORITY\SYSTEM من موقع معروف نتيجة حدث نتحكم فيه (إنشاء أو تعديل CSE)، وسيكون من الممكن تعديل هذا البرنامج النصي لإعادة توجيه تدفق التنفيذ القياسي لاستدعاء عملية نختارها مباشرة. بافتراض أن متجه التنفيذ الوحيد لدينا على المضيف يتم من خلال Arc، فإنه يمثل مشكلة البيضة والدجاجة قليلاً، حيث سنحتاج إلى تنفيذها من خلال شجرة عمليات معروفة لتعديل هذا الملف. ومع ذلك، فإن إجراء تعديلات نصية على ملف غير موقّع له قابلية اكتشاف أقل بكثير عند مقارنته بإجراءات ما بعد الاستغلال النموذجية الأخرى. لن أخوض في تفاصيل أخرى حول هذا التعديل (أو تعديلات أخرى مماثلة يمكن إجراؤها على ملحقات أخرى)، ولكنني أوضحت مجرد فكرة عن شيء أنيق يمكنك القيام به.
حتى هذه النقطة، ركزنا على الهجمات الممكنة باستخدام واجهة برمجة تطبيقات REST غير التفاعلية من وجهة نظر مدير خدمة مخصص بشكل مفرط تم تكوينه مع دور مسؤول موارد الآلة المتصل في Azure. ومع ذلك، إذا كان لدينا حساب لديه إمكانية الوصول إلى واجهة المستخدم الرسومية (GUI) على الويب، فإن نطاق ما يمكن القيام به يزيد بشكل كبير. هناك مجموعة متنوعة من الملحقات التي يمكن دفعها إلى العملاء المدارين وتفتح آفاقا جديدة لتنفيذ الرمز البرمجي، لكن عندما كنت أبحث في Arc، كان أحد الملحقات الأكثر اهتماماً لي هو مركز إدارة Windows (Windows Admin Center (WAC)) Arc يمكنه نشر عنصر إدارة الواجهة الخلفية في مركز إدارة Windows — وهو أداة إدارة عن بعد مستقلة أصدرتها Microsoft — عن طريق Arc. لا يمكن التفاعل مباشرة مع هذا الملحق عبر واجهة Azure REST حسب علمي، لكن يتم عرض مجموعة متنوعة من خيارات إدارة النظام عبر واجهة المستخدم الرسومية بمجرد النشر على العميل.
بمجرد تثبيت ملحق WAC (lol) على نظام مُدار من قبل Arc، يمكن الوصول إليه مباشرةً عبر بوابة Arc من خلال تصفح الجهاز المُدار، على افتراض أن لديك الدور المناسب المعين (أو يمكنك تعيينه لنفسك).
من خلال تكوين الوصول المناسب، يمكنك الاتصال بواجهة الإدارة وتنفيذ التعليمات البرمجية من خلال مجموعة متنوعة من الآليات المختلفة، بما في ذلك إنشاء العمليات وإنشاء المهام المجدولة / تعديلها وتعديل الخدمة وتعديل السجل. سأتجنب الخوض في تفاصيل كل من هذه، لكنني سأناقش بسرعة عملية إنشاء كمثال يوضح بعض المراوغات للتنفيذ من خلال WAC.
قد يكون إنشاء العملية الطريقة الأكثر مباشرة لتشغيل التعليمات البرمجية عبر WAC، ما عليك سوى إدخال عملية للبدء (مع حجج اختيارية) والنقر فوق "انتقال".
من المثير للاهتمام أن هذا يعمل في سياق حساب افتراضي (WAC_[your azure username])، ولكن في سياق عالي النزاهة مع امتيازات رمز مميز كامل، كما يمكن رؤيته من خلال توجيه whoami /priv إلى ملف نصي على القرص.
تفرخ العملية نفسها باعتبارها تابعة لـ WMIPrvSe.exe، شجرة عمليات مألوفة لمن يعرفون الحركة الجانبية عبر Process.Create. عند تشغيل أمر بهذه الطريقة، يكون للحساب الافتراضي مجلد مستخدم تم إنشاؤه له على القرص، تاركًا وراءه المزيد من بطاقات IOC التي يجب تنظيفها. ومع ذلك، فمن المؤكد أنه سهل الاستخدام!
بالإضافة إلى هذه المتجهات لتنفيذ الرمز البرمجي هناك العديد من ميزات الإدارة الأخرى مثل تصفح الملفات الرسومية ومشاركة الملفات، وهي ميزة لا غنى عنها لفئة المؤسسات C2 الخاصة بك.
يحتوي WAC أيضًا على لوحة تحكم في الجهاز الافتراضي، والتي تسمح بتثبيت Hyper-V على النظام المُدار، ومن ثم نشر وإدارة الأجهزة الافتراضية.
بدت هذه الميزة في البداية واعدة جداً، لكنني واجهت مشاكل أولاً عندما حاولت معرفة كيفية تنفيذ ملف ISO على المضيف. يحتوي متصفح الملفات داخل WAC على وظيفة تحميل مضمّنة، ولكن للأسف لديه حد أقصى لحجم التحميل. وهذا يعني أنه يجب تنفيذ آلية احتياطية للحصول على ISO مناسب على النظام من أجل بناء جهاز افتراضي. تم العثور على المشكلات اللاحقة التي من المحتمل أيضًا أن تظهر في بيئة المؤسسة فيما يتعلق بالمحاكاة الافتراضية المتداخلة. نظرًا لأن العديد من الأنظمة في بيئة المؤسسة عادةً ما تكون خاضعة للمحاكاة الافتراضية، يجب تمكين نظام Intel VT-x / AMD-V على النظام للسماح بالمحاكاة الافتراضية المتداخلة.
أخيراً، مع كل هذه الميزات الإدارية المتاحة، لا يوجد نقص في الهجمات المثيرة التي يمكنك القيام بها عن طريق استبدال الملفات أو تعديلها للاستحواذ على ما يقوم به Arc / WAC في الخلفية لتغطية أي إجراءات بعد الاستغلال. تذكّر أن هذه مجرد واحدة من العديد من الملحقات المتاحة للتنفيذ على العملاء المُدارة من قبل Arc؛ ولا شك أن هناك نواقل تنفيذ تعليمات برمجية مماثلة في ملحقات أخرى قد توفر وظائف أخرى.
لاحظ أن WAC يقوم بتنفيذ عمليات التثبيت المستقلة الخاصة به وبالتالي يوسع بشكل كبير من البصمة على القرص ومتطلبات التنظيف المرتبطة بالتسوية. بالإضافة إلى ذلك، فإن الإجراءات التي تعمل في سياق حساب WAC_ ستؤدي إلى إجراءات إضافية على القرص مثل إنشاء مجلد مستخدم، رغم عدم إنشاء ملف تعريف محلي للحساب. مع ذلك، رغم أن هذا يعد طريقاً رائعاً يفتح العديد من مسارات تنفيذ الرمز البرمجي، إلا أنه قد يكون شيئا أتخطاه في خادم مهام حساسة.
لنفترض أنك استعدت أحد كلمات السر الخاصة بمدير الخدمة، ولكن تم توفيره بشكل صحيح للسماح بتشغيل الأنظمة فقط. لا يزال من الممكن أن يكون من المفيد محاولة دمج نظام تتحكم فيه لمعرفة ما إذا كان يتم دفع أي تثبيتات أو تكوينات آلية تحتوي على بيانات اعتماد إضافية إلى نظامك.
هذا هو الموضوع الذي لم يسبق لي أن أشرت إليه كثيرًا حتى مدونة Andy Gill الأخيرة حول استخدام Arc كآلية قيادة C2. يعد Arc رائعا لأنه منتج شرعي من Microsoft ويتواصل مباشرة مع نقاط نهاية واجهات برمجة التطبيقات المعروفة داخل Azure، مما يعني أنه غالباً ما يتم تجاهله من قبل منتجات كشف نقطة النهاية والاستجابة لها. على الرغم من أني لا أوصي بمحاولة التشغيل من خلال Arc، إلا أنه يعمل كآلية مثيرة للاهتمام خارج النطاق للثبات الاحتياطي داخل البيئة. حتى لو كان المضيف مرتبطًا ببيئة Entra، فلا يلزم أن يتصل بمثيل Arc مستضاف في نفس المستأجر. في الواقع، هذا يعني أنه إذا كان لديك سياق عالي السلامة على مضيف لم يتم إدارته بالفعل عبر Arc، يمكنك نشر عميل Arc الخاص بك وإدارته من خلال مستأجر Azure الخاص بك.
نظرًا لأن مدونة Andy تقوم بعمل رائع في شرح الاستخدام العام لـ Arc من أجل الثبات، سأضيف نقطة صغيرة فقط للتشغيل عندما يكون الوصول المستند إلى واجهة المستخدم الرسومية غير ممكن (مثل ما سيكون نموذجيًا عند التشغيل من خلال وكيل C2). بمراجعة البرامج النصية للنشر، تتكون عملية تثبيت عميل Arc إلى حد كبير من جزأين: تثبيت العميل الفعلي عبر مثبت MSI، وتوصيل العميل المثبت بمستأجر Azure عبر وسيطات سطر الأوامر التي يتم تمريرها إلى وكيل Arc Connected Machine Agent(C:\Program Files\AzureConnectedMachineAgent\azcmagent.exe). يمكن إكمال كلتا الخطوتين في هذه العملية محلياً أو عن بعد (باستخدام طريقة تنفيذ كود الحركة الجانبية المفضلة) من سياق سطر أوامر غير تفاعلي، باستخدام البنية التقريبية:
1.
2.
بمجرد الاتصال، سيظهر النظام داخل شفرة Arc في مستأجر Azure الخاص بك، ويمكنك استخدام az CLI أو واجهة برمجة التطبيقات az REST لتنفيذ الإجراءات عليه. الآن وقد اتصل عميل Arc بمستأجر لديك سيطرة كاملة عليه، هناك أيضًا مجموعة أوسع من الخيارات المتاحة لتنفيذ التعليمات البرمجية اللاحقة والتي تمتد إلى ما هو أبعد من نطاق ما تم تناوله في هذه المدونة.
نقطة إضافية حول ننشر Arc: للأسف، لا يمكنك الاتصال "من الأعلى" من إعداد Arc آخر دون فصل الاتصال الحالي أولاً — وهي عملية النشر التي تتطلب دور مسؤول موارد الآلات المتصلة بـ Azure . من المحتمل أن تتمكن من التغلب على ذلك عن طريق إلغاء تثبيت عميل Arc تمامًا ثم إعادة تثبيته، ولكن هذا لن يكون خياري الأول للتنفيذ أو الاستمرارية. ما يعنيه هذا حقًا هو أنه إذا كان النظام مثبتًا على النظام بالفعل، فيجب أن تركز على الوصول إليه من خلال الاتصال الحالي، بدلاً من محاولة إعداد اتصال بالمستأجر الخاص بك عليه.
ملاحظة: ليس المقصود من هذه القائمة أن تحتوي على قائمة شاملة لجميع الأبحاث المتعلقة بالاستخدام الهجومي لـ Arc؛ بل تحتوي على قائمة بالمقالات والمحادثات التي ساعدتني في فهم المنصة وكذلك نواقل الهجوم المتاحة من خلالها.
تعرّف على أحدث التهديدات وعزز دفاعاتك السحابية من خلال تقرير X-Force Cloud Threat Landscape.
تعرَّف على كيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مجال الأمن الإلكتروني.
احمِ مؤسستك من التهديدات العالمية مع فريق IBM X-Force المتخصص في التهديدات، والذي يتكون من متسللين ومستجيبين وباحثين ومحللين.
استخدم الكشف عن التهديدات والاستجابة لها من IBM لتعزيز الأمن لديك وتسريع الكشف عن التهديدات.
احمِ بيئة الأجهزة المحمولة لديك مع حلول الدفاع الشاملة ضد التهديدات من IBM MaaS360.
احصل على حلول شاملة لإدارة التهديدات من أجل حماية عملك من الهجمات الإلكترونية بشكل احترافي.