Az - Lateral Movement (Cloud - On-Prem)
Az - Lateral Movement (Cloud - On-Prem)
クラウドに接続されたオンプレミスのマシン
マシンがクラウドに接続される方法はいくつかあります:
Azure AD参加
Workplace参加
ハイブリッド参加
AADJまたはハイブリッドでのWorkplace参加
トークンと制限
Azure ADには、特定の制限を持つさまざまなタイプのトークンがあります:
アクセストークン:Microsoft GraphのようなAPIやリソースにアクセスするために使用されます。特定のクライアントとリソースに結びついています。
リフレッシュトークン:新しいアクセストークンを取得するためにアプリケーションに発行されます。発行されたアプリケーションまたはアプリケーションのグループのみが使用できます。
プライマリリフレッシュトークン(PRT):Azure AD参加、登録、またはハイブリッド参加デバイスでのシングルサインオンに使用されます。ブラウザのサインインフローやデバイス上のモバイルおよびデスクトップアプリケーションへのサインインに使用できます。
Windows Hello for Businessキー(WHFB):パスワードなしの認証に使用されます。プライマリリフレッシュトークンを取得するために使用されます。
最も興味深いトークンのタイプはプライマリリフレッシュトークン(PRT)です。
Az - Primary Refresh Token (PRT)ピボッティング技術
侵害されたマシンからクラウドへ:
Pass the Cookie:ブラウザからAzureクッキーを盗み、それを使用してログイン
Dump processes access tokens:クラウドと同期されたローカルプロセスのメモリをダンプし(Excel、Teamsなど)、クリアテキストのアクセストークンを見つける。
Phishing Primary Refresh Token: PRTをフィッシングして悪用する
Pass the PRT:デバイスのPRTを盗んでAzureにアクセスする
Pass the Certificate: PRTに基づいて証明書を生成し、1台のマシンから別のマシンにログインする
ADを侵害してクラウドを侵害し、クラウドを侵害してADを侵害する:
クラウドからオンプレミスにピボットする別の方法は Intuneを悪用することです。
このツールは、Azure ADにマシンを登録してPRTを取得し、PRT(正当または盗まれた)を使用してさまざまな方法でリソースにアクセスするなど、いくつかのアクションを実行することを可能にします。これらは直接的な攻撃ではありませんが、PRTを使用してさまざまな方法でリソースにアクセスするのを容易にします。詳細はhttps://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/で確認してください。
参考文献
Last updated
