이 기사는 명령 및 제어(C2) 에이전트를 사용하여 Intune을 통해 수평 이동하는 데 따른 도전 과제에 대해 논의합니다. 저자는 Intune 관리자의 워크스테이션을 손상시켰음에도 불구하고, 조건부 액세스 정책(CAP) 및 다단계 인증(MFA) 요구 사항으로 인해 Intune에 등록된 장치에서 스크립트 또는 애플리케이션을 실행하는 것이 간단하지 않다고 설명합니다. 저자는 은밀하게 유지하고 의심스러운 도구를 사용하거나 의심스러운 활동 로그를 생성하지 않도록 주의해야 한다고 강조합니다. 이러한 장애물을 극복하기 위해 저자는 Intune 관리자의 권한을 사용하여 Intune에 등록된 장치에서 작업을 실행하는 프로세스를 자동화하는 오픈 소스 도구인 Maestro를 소개합니다. Maestro는 Azure와 상호 작용하고 Intune 장치에서 스크립트, 애플리케이션 및 장치 쿼리를 실행하기 위해 기본 새로 고침 토큰(PRT) 쿠키를 사용합니다. 도구는 필요한 토큰을 가져오고 원하는 작업을 실행하기 위해 HTTP 요청을 보내는 작업을 처리합니다. Maestro는 사용자 워크스테이션으로 수평 이동하여 코드 저장소를 액세스하는 "Death from Above" 공격 경로를 실행하는 데 사용할 수 있습니다. 저자는 Mythic C2 프레임워크와 함께 Maestro를 사용하여 Intune 장치에서 스크립트, 애플리케이션 및 장치 쿼리를 실행하는 방법에 대한 가이드를 제공합니다. Maestro는 또한 사용자 ID를 주인 이름으로 해결하고 실시간으로 장치를 쿼리하는 데 사용할 수 있습니다. 도구의 기능과 사용법은 Intune 장치에서 PowerShell 스크립트와 애플리케이션을 실행하는 예와 같은 다양한 예를 통해 시연됩니다.
securityboulevard.com
Maestro
Create attached notes ...