Maestro

El artículo discute los desafíos de utilizar Intune para el movimiento lateral sobre agentes de comando y control (C2). El autor explica que, incluso con una estación de trabajo de administrador de Intune comprometida, ejecutar scripts o aplicaciones en dispositivos inscritos en Intune no es directo debido a las políticas de acceso condicional (PAC) y los requisitos de autenticación multifactorial (AMF). El autor destaca la necesidad de mantener la sigilo y evitar utilizar herramientas sospechosas o generar registros de actividad sospechosos. Para superar estos obstáculos, el autor presenta a Maestro, una herramienta de código abierto que automatiza el proceso de utilizar los privilegios de un administrador de Intune para ejecutar acciones en dispositivos inscritos en Intune. Maestro utiliza una cookie de token de actualización principal (PRT) para interactuar con Azure y ejecutar scripts, aplicaciones y consultas de dispositivos en los dispositivos de Intune. La herramienta se encarga de adquirir tokens necesarios y hacer solicitudes HTTP para ejecutar la acción deseada. Maestro se puede utilizar para ejecutar el camino de ataque "Muerte desde arriba", que implica obtener acceso a un repositorio de código al moverse lateralmente a una estación de trabajo del usuario. El autor ofrece un tutorial sobre cómo utilizar Maestro con el marco de C2 Mythic para ejecutar scripts, aplicaciones y consultas de dispositivos en los dispositivos de Intune. Maestro también se puede utilizar para resolver IDs de usuario a nombres principales y consultar dispositivos en tiempo real. Las características y el uso de la herramienta se demuestran a través de varios ejemplos, incluyendo la ejecución de scripts y aplicaciones de PowerShell en dispositivos de Intune.