Az - Бічний рух (Хмара - На місці)

Машини на місці, підключені до хмари

Існують різні способи підключення машини до хмари:

Приєднано до Azure AD

Приєднано до робочого місця

Гібридне приєднання

Приєднано до робочого місця на AADJ або гібридно

Токени та обмеження

У Azure AD існують різні типи токенів з конкретними обмеженнями:

• Токени доступу: Використовуються для доступу до API та ресурсів, таких як Microsoft Graph. Вони пов'язані з конкретним клієнтом та ресурсом.

• Оновлювальні токени: Видані додаткам для отримання нових токенів доступу. Їх можуть використовувати лише додатки, для яких вони були видані, або група додатків.

• Основні оновлювальні токени (PRT): Використовуються для одноразового входу на Azure AD приєднаних, зареєстрованих або гібридних пристроях. Їх можна використовувати в потоках входу через браузер та для входу в мобільні та настільні додатки на пристрої.

Найцікавішим типом токена є Основний оновлювальний токен (PRT).

Техніки півоту

Від компрометованої машини до хмари:

• Передача кукі: Вкрасти куки Azure з браузера та використовувати їх для входу

• Фішинг основного оновлювального токена: Фішинг PRT для зловживання ним

• Передача PRT: Вкрасти PRT пристрою для доступу до Azure, підмаскувавши його.

• Передача сертифіката: Створити сертифікат на основі PRT для входу з однієї машини на іншу

Від компрометування AD до компрометування хмари та від компрометування хмари до компрометування AD:

• Azure AD Connect

• Ще один спосіб півоту від хмари до На місці - це зловживання Intune

Roadtx

Цей інструмент дозволяє виконувати кілька дій, таких як реєстрація машини в Azure AD для отримання PRT та використання PRT (легітимних або вкрадених) для доступу до ресурсів різними способами. Це не прямі атаки, але сприяє використанню PRT для доступу до ресурсів різними способами. Докладнішу інформацію знайдете за посиланням https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Посилання

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/