بدأ بحثي حول Microsoft Azure Arc خلال عملية الفريق الأحمر حيث عثرنا على سكريبت PowerShell يحتوي على سر Service Principal المبرمج بشكل صلب كان مسؤولاً عن نشر Arc على الأنظمة المحلية. لم أكن أعرف الكثير عن الخدمة، لذا بدأت البحث لمعرفة ما يمكننا فعله بالبيانات المسترجعة. تمكنا في النهاية من استخدام تقنيات موثقة في أبحاث سابقة حول هذا الموضوع للحصول على تنفيذ الرمز البرمجي على وحدة تحكم النطاق ثم العودة إلى Microsoft Azure، لكن هذا جعلني أفكر في بعض الأسئلة الأوسع المتعلقة ب Arc: كيف تحدد ذلك في البيئات؟ ما التكوينات (الخاطئة) التي يمكن أن توجد والتي من شأنها أن تسمح بالتصعيد؟ ما هي متجهات تنفيذ التعليمات البرمجية الأخرى الموجودة داخله؟ هل يمكن استخدامه كآلية ثبات خارج النطاق؟

إذًا، ما هو Azure Arc؟ على مستوى عالٍ، يوسع قدرات إدارة Azure الأصلية لتشمل مجموعة متنوعة من الموارد غير Azure مثل الأنظمة المحلية، ومجموعات Kubernetes العنقودية، ونشر VCenter—مما يسمح بإدارة هذه الأنظمة عبر Azure Resource Manager بنفس الطريقة التي يتعامل بها مضيف Azure الأصلي. بمجرد نشر وكيل Arc على المضيف، يسجل الموارد الأساسية في Azure ويعرض مجموعة من ميزات الإدارة: المراقبة، تطبيق السياسات، إدارة التحديثات، وغيرها. ومع ذلك، كان الأمر الأكثر أهمية بالنسبة لي هو القدرة على استخدامه لتنزيل الملفات عن بُعد وتشغيل الأوامر من عملية موثوق بها في سياق NT_AUTHORITY \ SYSTEM. بينما بعض وظائف Arc تتداخل مع Intune، فإن Arc مصمم خصيصاً لإدارة البنية التحتية والخوادم، وليس لنقطة النهاية أو الأجهزة المحمولة.

Arc ليس جديدًا للغاية (تم إصداره في الأصل في عام 2019)، وقد أوضح البحث السابق كيف يمكن استخدامه لتنفيذ التعليمات البرمجية والاستمرار في البيئات. علاوة على ذلك، فإن البحث الحالي حول مهاجمة الأجهزة الافتراضية (VMs) لها تداخلات كبيرة مع Arc، حيث يمكن إدارة الأنظمة المحلية المهيأة بـ Arc في Azure بطريقة مشابهة لجهاز افتراضي أصلي في Azure. من خلال هذه المدونة، آمل أن أقدم مزيداً من السياق من خلال التركيز على مجالات لم يتم استكشافها بشكل كامل في البحث، بالإضافة إلى توضيح الاستخدام الهجومي للمنصة ضمن سير العمل النموذجي وتقديم إرشادات دفاعية مصاحبة لنشر Azure Arc.