Az - Lateral Movement (Cloud - On-Prem)

Reading time: 4 minutes

Az - Lateral Movement (Cloud - On-Prem)

클라우드에 연결된 온프레미스 머신

머신이 클라우드에 연결되는 방법은 여러 가지가 있습니다:

Azure AD 가입

Workplace 가입

하이브리드 가입

AADJ 또는 하이브리드에서 Workplace 가입

토큰 및 제한 사항

Azure AD에는 특정 제한이 있는 다양한 유형의 토큰이 있습니다:

• Access tokens: Microsoft Graph와 같은 API 및 리소스에 접근하는 데 사용됩니다. 특정 클라이언트 및 리소스에 연결되어 있습니다.
• Refresh tokens: 새로운 access tokens을 얻기 위해 애플리케이션에 발급됩니다. 발급된 애플리케이션이나 애플리케이션 그룹에서만 사용할 수 있습니다.
• Primary Refresh Tokens (PRT): Azure AD에 가입된, 등록된 또는 하이브리드 가입된 장치에서 Single Sign-On에 사용됩니다. 브라우저 로그인 흐름 및 장치의 모바일 및 데스크톱 애플리케이션에 로그인하는 데 사용할 수 있습니다.
• Windows Hello for Business keys (WHFB): 비밀번호 없는 인증에 사용됩니다. Primary Refresh Tokens을 얻는 데 사용됩니다.

가장 흥미로운 유형의 토큰은 Primary Refresh Token (PRT)입니다.

Az - Primary Refresh Token (PRT)

피벗 기술

손상된 머신에서 클라우드로:

• Pass the Cookie: 브라우저에서 Azure 쿠키를 훔쳐 로그인에 사용
• Dump processes access tokens: 클라우드와 동기화된 로컬 프로세스의 메모리를 덤프하고 평문에서 access tokens을 찾기
• Phishing Primary Refresh Token: PRT를 피싱하여 악용
• Pass the PRT: 장치 PRT를 훔쳐 Azure에 접근
• Pass the Certificate: PRT를 기반으로 인증서를 생성하여 한 머신에서 다른 머신으로 로그인

AD를 손상시켜 클라우드를 손상시키고, 클라우드를 손상시켜 AD를 손상시키는 방법:

• Azure AD Connect
• 클라우드에서 온프레미스로 피벗하는 또 다른 방법은 Intune 악용

Roadtx

이 도구는 Azure AD에 머신을 등록하여 PRT를 얻고, PRT(합법적이거나 도난당한)를 사용하여 여러 가지 방법으로 리소스에 접근하는 등의 여러 작업을 수행할 수 있게 해줍니다. 이는 직접적인 공격은 아니지만, PRT를 사용하여 다양한 방법으로 리소스에 접근하는 것을 용이하게 합니다. 자세한 정보는 https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/에서 확인하세요.

참고 문헌

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/