Az - Lateral Movement (Cloud - On-Prem)
Az - Lateral Movement (Cloud - On-Prem)
क्लाउड से जुड़े ऑन-प्रेम मशीनें
एक मशीन को क्लाउड से जोड़ने के विभिन्न तरीके हैं:
Azure AD से जुड़े
कार्यस्थल से जुड़े
हाइब्रिड से जुड़े
AADJ या हाइब्रिड पर कार्यस्थल से जुड़े
टोकन और सीमाएँ
Azure AD में, विशिष्ट सीमाओं के साथ विभिन्न प्रकार के टोकन होते हैं:
एक्सेस टोकन: Microsoft Graph जैसी APIs और संसाधनों तक पहुँचने के लिए उपयोग किया जाता है। ये एक विशिष्ट क्लाइंट और संसाधन से जुड़े होते हैं।
रीफ्रेश टोकन: नए एक्सेस टोकन प्राप्त करने के लिए अनुप्रयोगों को जारी किए जाते हैं। इन्हें केवल उसी अनुप्रयोग द्वारा या अनुप्रयोगों के समूह द्वारा उपयोग किया जा सकता है, जिन्हें इन्हें जारी किया गया था।
प्राइमरी रीफ्रेश टोकन (PRT): Azure AD से जुड़े, पंजीकृत, या हाइब्रिड से जुड़े उपकरणों पर सिंगल साइन-ऑन के लिए उपयोग किया जाता है। इन्हें ब्राउज़र साइन-इन फ्लोज़ में और उपकरण पर मोबाइल और डेस्कटॉप अनुप्रयोगों में साइन इन करने के लिए उपयोग किया जा सकता है।
Windows Hello for Business keys (WHFB): पासवर्ड रहित प्रमाणीकरण के लिए उपयोग किया जाता है। इसका उपयोग प्राइमरी रीफ्रेश टोकन प्राप्त करने के लिए किया जाता है।
सबसे दिलचस्प प्रकार का टोकन प्राइमरी रीफ्रेश टोकन (PRT) है।
पिवोटिंग तकनीकें
समझौता किए गए मशीन से क्लाउड तक:
पास द कुकी: ब्राउज़र से Azure कुकीज़ चुराएँ और लॉगिन करने के लिए उनका उपयोग करें
प्रक्रियाओं के एक्सेस टोकन डंप करें: क्लाउड के साथ समन्वयित स्थानीय प्रक्रियाओं की मेमोरी को डंप करें (जैसे एक्सेल, Teams...) और स्पष्ट पाठ में एक्सेस टोकन खोजें।
प्राइमरी रीफ्रेश टोकन फ़िशिंग: PRT को फ़िश करें ताकि इसका दुरुपयोग किया जा सके
PRT पास करें: Azure तक पहुँचने के लिए डिवाइस PRT चुराएँ।
प्रमाणपत्र पास करें: एक मशीन से दूसरी मशीन पर लॉगिन करने के लिए PRT के आधार पर एक प्रमाणपत्र उत्पन्न करें
AD से समझौता करने से क्लाउड से समझौता करने और क्लाउड से AD से समझौता करने तक:
क्लाउड से ऑन-प्रेम पर पिवोट करने का एक और तरीका है Intune का दुरुपयोग करना
यह उपकरण कई कार्य करने की अनुमति देता है जैसे Azure AD में एक मशीन को पंजीकृत करना ताकि PRT प्राप्त किया जा सके, और विभिन्न तरीकों से संसाधनों तक पहुँचने के लिए PRTs (वैध या चुराए गए) का उपयोग करना। ये सीधे हमले नहीं हैं, लेकिन यह विभिन्न तरीकों से संसाधनों तक पहुँचने के लिए PRTs के उपयोग को सुविधाजनक बनाता है। अधिक जानकारी के लिए https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/ पर जाएँ।
संदर्भ
Last updated