Az - Lateral Movement (Cloud - On-Prem)
Az - Lateral Movement (Cloud - On-Prem)
On-Prem machines connected to cloud
There are different ways a machine can be connected to the cloud:
Azure AD joined
Workplace joined
Hybrid joined
Workplace joined on AADJ or Hybrid
Tokens and limitations
In Azure AD, there are different types of tokens with specific limitations:
Access tokens: Використовуються для доступу до API та ресурсів, таких як Microsoft Graph. Вони прив'язані до конкретного клієнта та ресурсу.
Refresh tokens: Видаються додаткам для отримання нових access tokens. Вони можуть використовуватися лише додатком, якому вони були видані, або групою додатків.
Primary Refresh Tokens (PRT): Використовуються для єдиного входу на пристроях, приєднаних до Azure AD, зареєстрованих або гібридних. Вони можуть використовуватися в процесах входу через браузер та для входу в мобільні та настільні додатки на пристрої.
Windows Hello for Business keys (WHFB): Використовуються для безпарольної аутентифікації. Використовуються для отримання Primary Refresh Tokens.
Найцікавіший тип токена - це Primary Refresh Token (PRT).
Az - Primary Refresh Token (PRT)Pivoting Techniques
From the compromised machine to the cloud:
Pass the Cookie: Вкрасти Azure cookies з браузера та використовувати їх для входу
Dump processes access tokens: Вивантажити пам'ять локальних процесів, синхронізованих з хмарою (як excel, Teams...) та знайти access tokens у відкритому тексті.
Phishing Primary Refresh Token: Фішинг PRT для його зловживання
Pass the PRT: Вкрасти PRT пристрою для доступу до Azure, видаючи себе за нього.
Pass the Certificate: Згенерувати сертифікат на основі PRT для входу з одного пристрою на інший
From compromising AD to compromising the Cloud and from compromising the Cloud to compromising AD:
Інший спосіб переходу з хмари на On-Prem - це зловживання Intune
This tool allows to perform several actions like register a machine in Azure AD to obtain a PRT, and use PRTs (legit or stolen) to access resources in several different ways. These are not direct attacks, but it facilitates the use of PRTs to access resources in different ways. Find more info in https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
References
Last updated