Маэстро

Статья обсуждает проблемы использования Intune для латерального движения через агенты управления и контроля (C2). Автор объясняет, что даже если рабочая станция администратора Intune скомпрометирована, выполнение скриптов или приложений на устройствах, зарегистрированных в Intune, не является тривиальным из-за политики условного доступа (CAP) и требований многофакторной аутентификации (MFA). Автор подчеркивает необходимость поддержания скрытности и избегания использования подозрительных инструментов или создания подозрительных журналов активности. Чтобы преодолеть эти препятствия, автор представляет Maestro, открытый инструмент, который автоматизирует процесс использования привилегий администратора Intune для выполнения действий на устройствах, зарегистрированных в Intune. Maestro использует cookie первичного токена обновления (PRT) для взаимодействия с Azure и выполнения скриптов, приложений и запросов устройств на устройствах Intune. Инструмент занимается получением необходимых токенов и отправкой HTTP-запросов для выполнения желаемого действия. Maestro можно использовать для выполнения атаки "Смерть сверху", которая включает получение доступа к репозиторию кода путем латерального движения к рабочей станции пользователя. Автор предоставляет пошаговое руководство по использованию Maestro с фреймворком Mythic C2 для выполнения скриптов, приложений и запросов устройств на устройствах Intune. Maestro также можно использовать для разрешения идентификаторов пользователей в имена принципов и запроса устройств в режиме реального времени. Функции и использование инструмента демонстрируются с помощью различных примеров, включая выполнение скриптов PowerShell и приложений на устройствах Intune.