Az - Lateral Movement (Cloud - On-Prem)

Az - Lateral Movement (Cloud - On-Prem)

클라우드에 연결된 온프레미스 머신

머신이 클라우드에 연결되는 방법은 여러 가지가 있습니다:

Azure AD 가입

Workplace 가입

하이브리드 가입

AADJ 또는 하이브리드에서 Workplace 가입

토큰 및 제한 사항

Azure AD에는 특정 제한이 있는 다양한 유형의 토큰이 있습니다:

• 액세스 토큰: Microsoft Graph와 같은 API 및 리소스에 액세스하는 데 사용됩니다. 특정 클라이언트 및 리소스에 연결되어 있습니다.

• 리프레시 토큰: 새로운 액세스 토큰을 얻기 위해 애플리케이션에 발급됩니다. 발급된 애플리케이션이나 애플리케이션 그룹에서만 사용할 수 있습니다.

• 기본 리프레시 토큰 (PRT): Azure AD 가입, 등록 또는 하이브리드 가입 장치에서 단일 로그인에 사용됩니다. 브라우저 로그인 흐름 및 장치의 모바일 및 데스크톱 애플리케이션에 로그인하는 데 사용할 수 있습니다.

• Windows Hello for Business 키 (WHFB): 비밀번호 없는 인증에 사용됩니다. 기본 리프레시 토큰을 얻는 데 사용됩니다.

가장 흥미로운 유형의 토큰은 기본 리프레시 토큰 (PRT)입니다.

피벗 기술

손상된 머신에서 클라우드로:

• Pass the Cookie: 브라우저에서 Azure 쿠키를 훔쳐 로그인에 사용

• Dump processes access tokens: 클라우드와 동기화된 로컬 프로세스의 메모리를 덤프하고 평문으로 액세스 토큰 찾기 (예: excel, Teams...)

• Phishing Primary Refresh Token: PRT를 피싱하여 악용

• Pass the PRT: 장치 PRT를 훔쳐 Azure에 접근

• Pass the Certificate: PRT를 기반으로 인증서를 생성하여 한 머신에서 다른 머신으로 로그인

AD를 손상시켜 클라우드를 손상시키고, 클라우드를 손상시켜 AD를 손상시키는 방법:

• Azure AD Connect

• 클라우드에서 온프레미스로 피벗하는 또 다른 방법은 Intune 악용입니다.

Roadtx

이 도구는 Azure AD에 머신을 등록하여 PRT를 얻고, PRT(정상 또는 도난)를 사용하여 여러 가지 방법으로 리소스에 접근하는 등의 여러 작업을 수행할 수 있습니다. 이는 직접적인 공격은 아니지만, PRT를 사용하여 다양한 방법으로 리소스에 접근하는 것을 용이하게 합니다. 자세한 정보는 https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/에서 확인하세요.

참고 문헌

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/