Az - Lateral Movement (Cloud - On-Prem)

Reading time: 3 minutes

기본 정보

이 섹션에서는 손상된 Entra ID 테넌트에서 온프레미스 Active Directory (AD)로 이동하거나 손상된 AD에서 Entra ID 테넌트로 이동하는 피벗 기술을 다룹니다.

피벗 기술

• Arc Vulnerable GPO Desploy Script: 공격자가 AD 컴퓨터 계정을 제어하거나 생성하고 Azure Arc GPO 배포 공유에 접근할 수 있다면, 저장된 Service Principal 비밀을 복호화하고 이를 사용하여 관련 서비스 주체로 Azure에 인증할 수 있으며, 연결된 Azure 환경을 완전히 손상시킬 수 있습니다.

• Cloud Kerberos Trust: Cloud Kerberos Trust가 구성된 경우 Entra ID에서 AD로 피벗하는 방법. Entra ID (Azure AD)의 Global Admin은 Cloud Kerberos Trust와 동기화 API를 악용하여 고급 권한 AD 계정을 가장하고, 그들의 Kerberos 티켓이나 NTLM 해시를 얻어 온프레미스 Active Directory를 완전히 손상시킬 수 있습니다—이 계정들이 클라우드와 동기화되지 않았더라도—실질적으로 클라우드에서 AD로의 권한 상승을 연결합니다.

• Cloud Sync: 클라우드에서 온프레미스 AD로 이동하거나 그 반대의 경우에 Cloud Sync를 악용하는 방법.

• Connect Sync: 클라우드에서 온프레미스 AD로 이동하거나 그 반대의 경우에 Connect Sync를 악용하는 방법.

• Domain Services: Azure Domain Services 서비스란 무엇이며, Entra ID에서 생성된 AD로 피벗하는 방법.

• Federation: 클라우드에서 온프레미스 AD로 이동하거나 그 반대의 경우에 Federation을 악용하는 방법.

• Hybrid Misc Attacks: 클라우드에서 온프레미스 AD로 이동하거나 그 반대의 경우에 사용할 수 있는 다양한 공격.

• Local Cloud Credentials: PC가 손상되었을 때 클라우드에 대한 자격 증명을 찾는 방법.

• Pass the Certificate: PRT를 기반으로 인증서를 생성하여 한 머신에서 다른 머신으로 로그인하는 방법.

• Pass the Cookie: 브라우저에서 Azure 쿠키를 훔치고 이를 사용하여 로그인하는 방법.

• Primary Refresh Token/Pass the PRT/Phishing PRT: PRT란 무엇이며, 이를 훔치고 사용자가 가장하여 Azure 리소스에 접근하는 방법.

• PtA - Pass through Authentication: 클라우드에서 온프레미스 AD로 이동하거나 그 반대의 경우에 Pass-through Authentication을 악용하는 방법.

• Seamless SSO: 온프레미스에서 클라우드로 이동하기 위해 Seamless SSO를 악용하는 방법.

• 클라우드에서 온프레미스로 피벗하는 또 다른 방법은 Intune을 악용하는 것입니다