Az - Lateral Movement (Cloud - On-Prem)

On-Prem machines connected to cloud

एक मशीन को क्लाउड से कनेक्ट करने के विभिन्न तरीके हैं:

Azure AD joined

Workplace joined

Hybrid joined

Workplace joined on AADJ or Hybrid

Tokens and limitations

Azure AD में, विशिष्ट सीमाओं वाले विभिन्न प्रकार के टोकन होते हैं:

• Access tokens: Microsoft Graph जैसे API और संसाधनों तक पहुंचने के लिए उपयोग किए जाते हैं। वे एक विशिष्ट क्लाइंट और संसाधन से जुड़े होते हैं।

• Refresh tokens: नए एक्सेस टोकन प्राप्त करने के लिए एप्लिकेशनों को जारी किए जाते हैं। इन्हें केवल उस एप्लिकेशन द्वारा या कुछ एप्लिकेशनों द्वारा उपयोग किया जा सकता है।

• Primary Refresh Tokens (PRT): Azure AD जुड़े, पंजीकृत या हाइब्रिड जुड़े डिवाइस पर सिंगल साइन-ऑन के लिए उपयोग किए जाते हैं। इन्हें ब्राउज़र साइन-इन फ्लो और डिवाइस पर मोबाइल और डेस्कटॉप एप्लिकेशन में साइन-इन करने के लिए उपयोग किया जा सकता है।

सबसे दिलचस्प प्रकार का टोकन प्राइमरी रिफ्रेश टोकन (PRT) है।

Pivoting Techniques

कंप्रोमाइज़्ड मशीन से क्लाउड तक:

• कुकी पास करें: ब्राउज़र से Azure कुकी चुराएं और उन्हें लॉगिन करने के लिए उपयोग करें

• फिशिंग प्राइमरी रिफ्रेश टोकन: PRT को धोखाधड़ी से उपयोग करने के लिए फिशिंग करें

• PRT पास करें: डिवाइस PRT चुराएं और उसे इम्पर्सनेट करते हुए Azure तक पहुंचें।

• सर्टिफिकेट पास करें: PRT पर आधारित सर्टिफिकेट उत्पन्न करें और एक मशीन से दूसरे मशीन में लॉगिन करें

AD को कंप्रोमाइज़्ड करने से क्लाउड और क्लाउड को AD कंप्रोमाइज़्ड करने के लिए:

• Azure AD Connect

• एक और तरीका क्लाउड से On-Prem तक पिवोट करने के लिए Intune का दुरुपयोग करना

Roadtx

यह उपकरण कई कार्रवाई करने की अनुमति देता है जैसे कि एक मशीन को Azure AD में पंजीकृत करना और PRT प्राप्त करना, और PRTs (वैध या चोरी किए गए) का उपयोग करके विभिन्न तरीकों से संसाधनों तक पहुंचने के लिए। ये सीधे हमले नहीं हैं, लेकिन यह PRTs का उपयोग करने को विभिन्न तरीकों से संसाधनों तक पहुंचने को सुविधाजनक बनाता है। अधिक जानकारी के लिए https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/ में देखें

References

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/