Az - Lateral Movement (Cloud - On-Prem)
Az - Бічний рух (Хмара - На місці)
Машини на місці, підключені до хмари
Існують різні способи підключення машини до хмари:
Приєднано до Azure AD
Приєднано до робочого місця
Гібридне приєднання
Приєднано до робочого місця на AADJ або гібридно
Токени та обмеження
У Azure AD існують різні типи токенів з конкретними обмеженнями:
Токени доступу: Використовуються для доступу до API та ресурсів, таких як Microsoft Graph. Вони пов'язані з конкретним клієнтом та ресурсом.
Оновлювальні токени: Видані додаткам для отримання нових токенів доступу. Їх можуть використовувати лише додатки, для яких вони були видані, або група додатків.
Основні оновлювальні токени (PRT): Використовуються для одноразового входу на Azure AD приєднаних, зареєстрованих або гібридних пристроях. Їх можна використовувати в потоках входу через браузер та для входу в мобільні та настільні додатки на пристрої.
Найцікавішим типом токена є Основний оновлювальний токен (PRT).
pageAz - Primary Refresh Token (PRT)Техніки півоту
Від компрометованої машини до хмари:
Передача кукі: Вкрасти куки Azure з браузера та використовувати їх для входу
Фішинг основного оновлювального токена: Фішинг PRT для зловживання ним
Передача PRT: Вкрасти PRT пристрою для доступу до Azure, підмаскувавши його.
Передача сертифіката: Створити сертифікат на основі PRT для входу з однієї машини на іншу
Від компрометування AD до компрометування хмари та від компрометування хмари до компрометування AD:
Ще один спосіб півоту від хмари до На місці - це зловживання Intune
Цей інструмент дозволяє виконувати кілька дій, таких як реєстрація машини в Azure AD для отримання PRT та використання PRT (легітимних або вкрадених) для доступу до ресурсів різними способами. Це не прямі атаки, але сприяє використанню PRT для доступу до ресурсів різними способами. Докладнішу інформацію знайдете за посиланням https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
Посилання
Last updated