gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-03-12 21:22:57 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo

Browse Source
This commit is contained in:
Translator
2026-03-02 23:53:46 +00:00
parent 76cd495ae5
commit 737d3d96f6
2 changed files with 66 additions and 17 deletions
Download Patch File Download Diff File Expand all files Collapse all files

36
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md
View File

@@ -2,39 +2,41 @@
{{#include ../../../banners/hacktricks-training.md}}
## 기본 정보
## Basic Information
이 섹션에서는 침해된 Entra ID 테넌트에서 온프레미스 Active Directory (AD)로 이동하는 피벗 기법과, 침해된 AD에서 Entra ID 테넌트로 이동하는 기법을 다룹니다.
이 섹션에서는 손상된 Entra ID tenant에서 온프레미스 Active Directory(AD)로 이동하거나 손상된 AD에서 Entra ID tenant로 이동하기 위한 피벗 기법을 다룹니다.
## 피벗 기법
## Pivoting Techniques
- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): 공격자가 AD 컴퓨터 계정을 제어하거나 생성고 Azure Arc GPO 배포 공유에 접근할 수 있다면, 저장된 Service Principal 비밀을 복호화하여 연관된 Service Principal로 Azure에 인증하고 연결된 Azure 환경을 완전히 장악할 수 있습니다.
- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): 공격자가 AD 컴퓨터 계정을 제어하거나 생성할 수 있고 Azure Arc GPO 배포 공유에 접근할 수 있다면, 저장된 Service Principal 비밀을 복호화하여 해당 서비스 프린시펄로 Azure에 인증하고 연결된 Azure 환경을 완전히 탈취할 수 있습니다.
- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Cloud Kerberos Trust가 구성된 경우 Entra ID에서 AD로 피벗하는 방법. Entra ID (Azure AD)의 Global Admin은 Cloud Kerberos Trust와 sync API를 악용 고권한 AD 계정을 가장하고 해당 계정의 Kerberos 티켓이나 NTLM 해시를 획득하여 온프레미스 Active Directory를 완전히 장악할 수 있습니다. 이는 해당 계정들이 클라우드에 동기화된 적이 없더라도 적용되며, 결과적으로 클라우드에서 AD로의 권한 상승을 연결합니다.
- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Cloud Kerberos Trust가 구성된 경우 Entra ID에서 AD로 피벗하는 방법입니다. Entra ID(Azure AD)의 Global Admin은 Cloud Kerberos Trust와 sync API를 악용하여 고권한 AD 계정을 가장하고 해당 계정의 Kerberos 티켓 또는 NTLM 해시를 얻어 온프레미스 Active Directory를 완전히 탈취할 수 있습니다 해당 계정들이 클라우드에 동기화된 적이 없더라도 — 실질적으로 클라우드에서 AD로의 권한 상승을 연결합니다.
- [**Cloud Sync**](az-cloud-sync.md): Cloud Sync를 악용 클라우드에서 온프레미스 AD로 또는 그 반대로 이동하는 방법.
- [**Cloud Sync**](az-cloud-sync.md): Cloud Sync를 악용하여 클라우드에서 온프레미스 AD로, 또는 그 반대로 이동하는 방법입니다.
- [**Connect Sync**](az-connect-sync.md): Connect Sync를 악용 클라우드에서 온프레미스 AD로 또는 그 반대로 이동하는 방법.
- [**Connect Sync**](az-connect-sync.md): Connect Sync를 악용하여 클라우드에서 온프레미스 AD로, 또는 그 반대로 이동하는 방법입니다.
- [**Domain Services**](az-domain-services.md): Azure Domain Services 서비스가 무엇인지, 그리고 Entra ID에서 그것이 생성한 AD로 어떻게 피벗하는지.
- [**Domain Services**](az-domain-services.md): Azure Domain Services 서비스가 무엇인지 Entra ID에서 해당 서비스가 생성한 AD로 피벗하는 방법입니다.
- [**Federation**](az-federation.md): Federation을 악용 클라우드에서 온프레미스 AD로 또는 그 반대로 이동하는 방법.
- [**Federation**](az-federation.md): Federation을 악용하여 클라우드에서 온프레미스 AD로, 또는 그 반대로 이동하는 방법입니다.
- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): 클라우드에서 온프레미스 AD로 또는 그 반대로 피벗하는 데 사용할 수 있는 다양한 공격 기법들.
- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): 클라우드에서 온프레미스 AD로, 또는 그 반대로 피벗하는 데 사용할 수 있는 기타 다양한 공격들입니다.
- [**Local Cloud Credentials**](az-local-cloud-credentials.md): PC가 침해되었을 때 클라우드 자격증명을 어디서 찾는지.
- [**Exchange Hybrid Impersonation (ACS Actor Tokens)**](az-exchange-hybrid-impersonation.md): Exchange Hybrid actor-token 내부 동작, 패치된 경로와 아직 유효한 악용 경로, 그리고 service-principal 분리 마이그레이션 후 남아있는 위험을 평가하는 방법입니다.
- [**Pass the Certificate**](az-pass-the-certificate.md): PRT를 기반으로 인증서를 생성하여 한 머신에서 다른 머신으로 로그인하는 방법.
- [**Local Cloud Credentials**](az-local-cloud-credentials.md): PC가 손상되었을 때 클라우드 자격 증명을 찾을 수 있는 위치입니다.
- [**Pass the Cookie**](az-pass-the-cookie.md): 브라우저에서 Azure 쿠키를 훔쳐 로그인에 사용하는 방법.
- [**Pass the Certificate**](az-pass-the-certificate.md): PRT를 기반으로 인증서를 생성하여 한 머신에서 다른 머신으로 로그인하는 방법입니다.
- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): PRT가 무엇인지, 어떻게 훔치고 사용자로 가장하여 Azure 리소스에 접근하는지.
- [**Pass the Cookie**](az-pass-the-cookie.md): 브라우저에서 Azure 쿠키를 탈취하여 로그인에 사용하는 방법입니다.
- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Pass-through Authentication을 악용해 클라우드에서 온프레미스 AD로 또는 그 반대로 이동하는 방법.
- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): PRT가 무엇인지, 어떻게 탈취하고 사용하여 사용자를 가장해 Azure 리소스에 접근하는지에 관한 내용입니다.
- [**Seamless SSO**](az-seamless-sso.md): Seamless SSO를 악용해 온프레미스에서 클라우드로 이동하는 방법.
- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Pass-through Authentication을 악용하여 클라우드에서 온프레미스 AD로, 또는 그 반대로 이동하는 방법입니다.
- **클라우드에서 On-Prem으로 피벗하는 또 다른 방법은** [**abusing Intune**](../az-services/intune.md)
- [**Seamless SSO**](az-seamless-sso.md): Seamless SSO를 악용하여 온프레미스에서 클라우드로 이동하는 방법입니다.
- **클라우드에서 On-Prem로 피벗하는 또 다른 방법은** [**abusing Intune**](../az-services/intune.md)
{{#include ../../../banners/hacktricks-training.md}}

47
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-exchange-hybrid-impersonation.md Normal file
View File

@@ -0,0 +1,47 @@
# Az - Exchange Hybrid Impersonation (ACS Actor Tokens)
{{#include ../../../banners/hacktricks-training.md}}
## 기본 정보
레거시 Exchange Hybrid 설계에서는 on-prem Exchange 배포가 Exchange Online에서 사용되는 동일한 Entra 애플리케이션 아이덴티티로 인증할 수 있었습니다. 공격자가 Exchange 서버를 침해해 hybrid certificate private key를 추출하고 OAuth client-credentials flow를 수행하면, Exchange Online 권한 컨텍스트를 가진 first-party 토큰을 획득할 수 있었습니다.
실제 위험은 단순한 사서함 접근에 국한되지 않았습니다. Exchange Online이 광범위한 백엔드 신뢰 관계를 가지므로, 이 아이덴티티는 추가적인 Microsoft 365 서비스와 상호작용할 수 있었고, 과거 동작에서는 더 깊은 테넌트 침해로 이어질 수 있었습니다.
## 공격 경로 및 기술적 흐름
### Exchange를 통한 Federation 구성 수정
과거에는 Exchange 토큰이 도메인/페더레이션 설정을 쓸 수 있는 권한을 가지고 있었습니다. 공격자 관점에서 이는 토큰 서명 인증서 목록이나 온프레미스 페더레이션 인프라에서 오는 MFA-claim 수락을 제어하는 구성 플래그 등, 페더레이션 신뢰 데이터를 직접 조작할 수 있게 했습니다.
즉, 침해된 Exchange Hybrid 서버는 클라우드 측에서 페더레이션 구성을 변경해 ADFS-style impersonation을 준비하거나 강화하는 데 사용될 수 있었고, 공격자가 온프레미스 Exchange 침해에서 시작했더라도 해당 작업이 가능했습니다.
### ACS Actor Tokens 및 서비스 간 Impersonation
Exchange의 하이브리드 인증 경로는 `trustedfordelegation=true`로 설정된 Access Control Service (ACS) actor tokens을 사용했습니다. 그런 actor token은 공격자가 제어하는 섹션에 대상 사용자 아이덴티티를 담은 두 번째의 서명되지 않은 서비스 토큰에 포함되었습니다. 외부 토큰이 서명되지 않았고 actor token이 광범위하게 위임되었기 때문에, 호출자는 재인증 없이 대상 사용자를 교체할 수 있었습니다.
실무에서는 actor token을 획득하면 공격자는 수명 기간이 긴(보통 약 24시간) 임퍼소네이션 원시 수단을 가지게 되었고, 그 수명 중간에 취소하기가 어려웠습니다. 이는 Exchange Online 및 SharePoint/OneDrive APIs 전반에 걸친 사용자 임퍼소네이션을 가능하게 했고, 고가치 데이터 유출을 허용했습니다.
역사적으로 같은 패턴은 victim의 `netId` 값을 사용해 impersonation 토큰을 만들어 `graph.windows.net`에도 작동했습니다. 이는 임의 사용자로서 직접 Entra administrative action을 수행하게 해 전체 테넌트 장악 워크플로우(예: 새로운 Global Administrator 계정 생성)를 가능하게 했습니다.
## 더 이상 작동하지 않는 것
Exchange Hybrid actor tokens을 통한 `graph.windows.net` impersonation 경로는 수정되었습니다. 이 특정 토큰 경로에 대한 이전의 "Exchange에서 임의 Entra 관리자 권한으로의 Graph 체인"은 제거된 것으로 간주해야 합니다.
공격 문서화 시 가장 중요한 보정은 다음과 같습니다: Exchange/SharePoint 임퍼소네이션 위험과 이제 패치된 Graph 임퍼소네이션 권한 상승을 분리해서 기록하십시오.
## 실무에서 여전히 중요할 수 있는 사항
조직이 여전히 공유 신뢰와 노출된 인증서 자료를 가진 오래되었거나 불완전한 하이브리드 구성을 운영하고 있다면, Exchange/SharePoint 임퍼소네이션의 영향은 여전히 심각할 수 있습니다. 테넌트 설정 및 마이그레이션 상태에 따라 페더레이션 구성 오용 측면도 여전히 관련성이 있을 수 있습니다.
Microsoft의 장기적인 완화책은 온프레미스와 Exchange Online 아이덴티티를 분리해 shared-service-principal 신뢰 경로가 더 이상 존재하지 않게 하는 것입니다. 해당 마이그레이션을 완료한 환경은 이 공격 표면을 실질적으로 줄입니다.
## 탐지 참고사항
이 기법이 악용될 때, 감사 이벤트는 사용자 프린시펄 네임이 임퍼소네이트된 사용자를 가리키지만 디스플레이/소스 컨텍스트는 Exchange Online 활동을 가리키는 아이덴티티 불일치를 보여줄 수 있습니다. 그런 혼합된 아이덴티티 패턴은 높은 가치의 헌팅 시그널이지만, 방어자들은 오탐을 줄이기 위해 합법적인 Exchange-admin 워크플로우를 기준선화해야 합니다.
## References
- https://www.youtube.com/watch?v=rzfAutv6sB8
{{#include ../../../banners/hacktricks-training.md}}