Az - Lateral Movement (Cloud - On-Prem)
Az - レイテラルムーブメント(クラウド - オンプレ)
クラウドに接続されたオンプレマシン
マシンがクラウドに接続される方法はさまざまです:
Azure ADに参加
ワークプレイスに参加
ハイブリッドに参加
AADJまたはハイブリッドでワークプレイスに参加
トークンと制限
Azure ADには、特定の制限付きトークンの異なるタイプがあります:
アクセストークン:Microsoft GraphなどのAPIやリソースにアクセスするために使用されます。特定のクライアントとリソースに紐づいています。
リフレッシュトークン:新しいアクセストークンを取得するためにアプリケーションに発行されます。発行されたアプリケーションまたはアプリケーショングループのみ使用できます。
プライマリリフレッシュトークン(PRT):Azure ADに参加した、登録された、またはハイブリッドに参加したデバイスでのシングルサインオンに使用されます。ブラウザサインインフローで使用され、デバイス上のモバイルおよびデスクトップアプリケーションにサインインするために使用できます。
最も興味深いトークンのタイプはプライマリリフレッシュトークン(PRT)です。
pageAz - Primary Refresh Token (PRT)ピボットテクニック
侵害されたマシンからクラウドへ:
Cookieを渡す:ブラウザからAzureのCookieを盗み、それを使用してログインする
Phishing Primary Refresh Token::PRTをフィッシングして悪用する
PRTを渡す:デバイスのPRTを盗み、それを偽装してAzureにアクセスする
証明書を渡す::PRTに基づいて証明書を生成し、1つのマシンから別のマシンにログインする
ADの侵害からクラウドの侵害、およびクラウドの侵害からADの侵害へのピボット:
クラウドからオンプレへの別のピボット方法は Intuneの悪用
このツールを使用すると、Azure ADにマシンを登録してPRTを取得し、PRT(正規または盗まれた)をさまざまな方法で使用できます。これは直接的な攻撃ではありませんが、異なる方法でリソースにアクセスするためにPRTの使用を容易にします。詳細については、https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/で確認してください。
参考文献
最終更新