Questa sezione introduce gli studenti ai concetti fondamentali di Azure AD, insegnando loro come rilevare le vulnerabilità nei sistemi e acquisire l’accesso iniziale ai sistemi target, fornendo una base solida per il corso, preparando gli studenti a comprendere le sfide e le strategie nella protezione delle informazioni e nella gestione della sicurezza informatica.

• Introduzione ad Azure
  • Comprendere Azure e Azure AD.
  • Architettura di Azure e assegnazioni di ruolo.
  • Comprendere la metodologia di attacco e Azure Kill Chain.
• Discovery and Recon of services and applications
  • OSINT e tecniche di enumerazione non autenticate
  • Raccogliere informazioni sul tenant target.
  • Convalidare gli ID e-mail per un’organizzazione.
  • Autorizzazioni predefinite di cui dispone un utente di Azure AD in un tenant.
• Initial Access Attacks
  • Errori opsec durante lo spraying delle password nel cloud.
  • Attacco di concessione del consenso illecito per l’accesso iniziale contro simulazioni di più utenti in laboratorio.
  • Abusare delle applicazioni web
  • Abuso Account di archiviazione non sicuri.
  • Attacchi di phishing contro la simulazione di un utente.
  • Utilizzare le credenziali dell’applicazione per accedere al tenant di destinazione.
  • Abusare di CI/CD per ottenere l’accesso a un tenant di Azure.

Questa sezione si focalizza sulla raccolta di informazioni e strategie per l’aumento dei privilegi all’interno di sistemi informatici. Gli studenti apprendono tecniche avanzate di enumerazione per raccogliere dati sensibili e come identificare, sfruttare e mitigare vulnerabilità per l’escalation dei privilegi.

• Enumeration
  • Enumerare le informazioni da Azure AD.
  • Mappare i percorsi di attacco elencando gli oggetti di proprietà di un oggetto Azure AD.
  • Identità dei dispositivi e mappare i percorsi di attacco
  • Entità servizio e applicazioni soggette a abusi.
  • Enumerare le informazioni da Azure.
  • Enumerare le assegnazioni di ruolo per mappare i percorsi di attacco.
  • ROADRecon e Azure Hound per l’enumerazione.
  • API REST ARM e MS Graph per l’enumerazione.
• Privilege Escalation
  • Servizi di abuso come account di automazione, Key Vault, account di archiviazione, cronologia di distribuzione e altro ancora per l’escalation dei privilegi orizzontale e verticale in Azure.
  • Privilegi in Azure AD e Azure abusando dei ruoli personalizzati.
  • Abusare delle autorizzazioni su altre risorse per aumentare i privilegi.
  • Abusare dell’estensione script personalizzata e dei privilegi RunCommand.
  • Gruppi dinamici e abusare della regola di appartenenza.

Questa sezione si concentra sulle tecniche di Lateral Movement all’interno di reti e sulla persistenza degli attacchi. Gli studenti apprendono come gli attaccanti estendono l’accesso e come difendersi da queste minacce prolungate.

• Lateral Movement
  • Abusare dei lavoratori ibridi che utilizzano runbook negli account di Automazione per passare dal tenant di Azure alle macchine locali.
  • Spostamento laterale da GitHub al tenant di Azure.
  • Attacco Pass-The-PRT per riprodurre il cookie PRT di un utente.
  • Abusare di Intune per eseguire comandi su macchine locali.
  • Attacchi contro le applicazioni utilizzando il proxy dell’applicazione.
  • Abusare dei modelli di identità ibrida (PHS, PTA e Federation).
• Persistence
  • Opportunità persistenti quando viene utilizzata un’identità ibrida.
  • Criticità del server Azure AD Connect e il modo in cui la persistenza a livello di sistema operativo su tale macchina può essere utilizzata per compromettere sia l’infrastruttura locale che quella cloud.
  • Attacchi Skeleton key in the cloud e Golden SAML.
  • Opportunità di persistenza per le risorse di Azure come account di archiviazione, applicazioni ed entità servizio, consensi e autorizzazioni, VM e gruppi di rete di Azure, ruoli personalizzati di Azure e Azure AD ecc.

In questo modulo, gli studenti acquisiscono competenze nell’analisi dei dati per identificare vulnerabilità e attività malevole, oltre a studiare le strategie di difesa e come gli attaccanti possono eluderle. Questo modulo fornisce una conoscenza approfondita per proteggere i sistemi informatici e rilevare sofisticate minacce informatiche.

• Data Mining
  • Estrarre segreti da Key Vault abusando dell’identità gestita.
  • Mappatura dei percorsi di attacco leggendo le assegnazioni dei ruoli.
  • Estrarre segreti dalla cronologia di distribuzione.
  • Estrarre password e token dell’applicazione in chiaro dalla workstation di un utente Azure compromessa.
  • Estrarre segreti dall’archiviazione BLOB.
• Defenses
  • Indicazioni sulla difesa di Microsoft in diverse categorie.
  • Politiche di accesso condizionale, della gestione delle identità privilegiate, della protezione dell’identità di Azure AD, di Microsoft Defender for Cloud e delle sue funzionalità
  • Valutazione dell’accesso continuo e il suo impatto sulla riproduzione dei token di accesso.
  • Applicare l’AMF in Azure AD.
• Defenses Bypass
  • Policy di accesso condizionato più utilizzate ed come aggirarle.
  • Opsec per evitare rilevamenti da parte di Azure AD Identity Protection.
  • Metodi che possono essere utilizzati per bypassare l’AMF.
  • Evitare la protezione del carico di lavoro cloud di Microsoft Defender per cloud come JIT, ANH, NSG e firewall di Azure per accedere alle VM.