Meister

Der Artikel diskutiert die Herausforderungen bei der Verwendung von Intune für laterale Bewegungen über Befehls- und Kontrollagenten (C2). Der Autor erklärt, dass selbst wenn die Arbeitsstation eines Intune-Administrators kompromittiert ist, das Ausführen von Skripten oder Anwendungen auf Intune-registrierten Geräten nicht einfach ist, aufgrund von bedingten Zugriffsrichtlinien (CAPs) und Anforderungen an die mehrstufige Authentifizierung (MFA). Der Autor betont die Notwendigkeit, heimlich zu bleiben und das Verwenden von verdächtigen Tools oder das Generieren von verdächtigen Aktivitätsprotokollen zu vermeiden. Um diese Hürden zu überwinden, stellt der Autor Maestro vor, ein Open-Source-Tool, das den Prozess der Verwendung von Intune-Admin-Rechten zum Ausführen von Aktionen auf Intune-registrierten Geräten automatisiert. Maestro verwendet ein primäres Aktualisierungstoken (PRT)-Cookie, um mit Azure zu interagieren und Skripte, Anwendungen und Geräteabfragen auf Intune-Geräten auszuführen. Das Tool übernimmt die Beschaffung der erforderlichen Token und das Senden von HTTP-Anfragen, um die gewünschte Aktion auszuführen. Maestro kann verwendet werden, um den "Tod von oben"-Angriffspfad auszuführen, der das Erreichen eines Code-Repositorys durch laterale Bewegung zu einem Benutzerarbeitsplatz beinhaltet. Der Autor bietet eine Anleitung zum Verwenden von Maestro mit dem Mythic-C2-Framework, um Skripte, Anwendungen und Geräteabfragen auf Intune-Geräten auszuführen. Maestro kann auch verwendet werden, um Benutzer-IDs in Hauptnamen aufzulösen und Geräte in Echtzeit abzufragen. Die Funktionen und der Einsatz des Tools werden durch verschiedene Beispiele demonstriert, einschließlich des Ausführens von PowerShell-Skripten und Anwendungen auf Intune-Geräten.