Az - Lateral Movement (Cloud - On-Prem)

Reading time: 5 minutes

基本情報

このセクションでは、侵害された Entra ID テナントからオンプレミスの Active Directory (AD) へ、または侵害された AD から Entra ID テナントへ移動するためのピボッティング技術について説明します。

ピボッティング技術

• Arc Vulnerable GPO Desploy Script: 攻撃者が AD コンピュータアカウントを制御または作成し、Azure Arc GPO デプロイメント共有にアクセスできる場合、保存された Service Principal シークレットを復号化し、関連するサービスプリンシパルとして Azure に認証するために使用でき、リンクされた Azure 環境を完全に侵害します。

• Cloud Kerberos Trust: Cloud Kerberos Trust が構成されている場合に、Entra ID から AD へピボットする方法。Entra ID (Azure AD) のグローバル管理者は、Cloud Kerberos Trust と同期 API を悪用して、高特権の AD アカウントを偽装し、その Kerberos チケットまたは NTLM ハッシュを取得し、オンプレミスの Active Directory を完全に侵害することができます—これらのアカウントがクラウドと同期されていなくても—効果的にクラウドから AD への特権昇格を橋渡しします。

• Cloud Sync: クラウドからオンプレミス AD へ、またその逆に移動するために Cloud Sync を悪用する方法。

• Connect Sync: クラウドからオンプレミス AD へ、またその逆に移動するために Connect Sync を悪用する方法。

• Domain Services: Azure Domain Services サービスとは何か、Entra ID から生成される AD へピボットする方法。

• Federation: クラウドからオンプレミス AD へ、またその逆に移動するために Federation を悪用する方法。

• Hybrid Misc Attacks: クラウドからオンプレミス AD へ、またその逆にピボットするために使用できる雑多な攻撃。

• Local Cloud Credentials: PC が侵害されたときにクラウドへの資格情報を見つける場所。

• Pass the Certificate: PRT に基づいて証明書を生成し、1 台のマシンから別のマシンにログインする方法。

• Pass the Cookie: ブラウザから Azure クッキーを盗み、それを使用してログインする方法。

• Primary Refresh Token/Pass the PRT/Phishing PRT: PRT とは何か、それを盗んでユーザーを偽装して Azure リソースにアクセスする方法。

• PtA - Pass through Authentication: Pass-through Authentication を悪用してクラウドからオンプレミス AD へ、またその逆に移動する方法。

• Seamless SSO: Seamless SSO を悪用してオンプレミスからクラウドへ移動する方法。

• クラウドからオンプレミスにピボットする別の方法は Intune を悪用することです