マエストロ

この記事では、コマンド＆コントロール（C2）エージェントを使用した横方向の移動に比べて、Intuneを使用した横方向の移動の課題について説明しています。著者は、Intune管理者のワークステーションが侵害された場合でも、条件付きアクセスポリシー（CAP）や多要素認証（MFA）要件のため、Intuneに登録されたデバイスでスクリプトやアプリケーションを実行することは容易ではないことを説明しています。著者は、ステルス性を維持し、疑わしいツールを使用したり、疑わしいアクティビティログを生成したりしないようにする必要性を強調しています。これらの課題を克服するために、著者はMaestroというオープンソースツールを紹介しています。Maestroは、Intune管理者の特権を使用して、Intuneに登録されたデバイスでアクションを実行するプロセスを自動化します。Maestroは、Azureとやり取りし、Intuneデバイスでスクリプト、アプリケーション、デバイスクエリを実行するために、プライマリリフレッシュトークン（PRT）クッキーを使用します。このツールは、必要なトークンを取得し、HTTPリクエストを送信して、目的のアクションを実行するために必要な処理を行います。Maestroは、「Death from Above」と呼ばれる攻撃パスを実行するために使用できます。この攻撃パスでは、コードリポジトリへのアクセスを取得するために、ユーザーのワークステーションに横方向に移動します。著者は、Mythic C2フレームワークを使用して、Intuneデバイスでスクリプト、アプリケーション、デバイスクエリを実行するためにMaestroを使用する方法についてのチュートリアルを提供しています。Maestroは、ユーザーIDをプリンシパル名に解決し、リアルタイムでデバイスをクエリするために使用することもできます。このツールの機能と使用方法は、PowerShellスクリプトやアプリケーションをIntuneデバイスで実行するなど、さまざまな例を通じて示されています。