Maestro 是一种后利用工具,旨在通过用户工作站上的 C2 代理与 Intune/EntraID 进行交互,而无需了解用户的密码或 Azure 身份验证流程、令牌操作和基于 Web 的管理控制台。Maestro 使从 C2 与 Intune 和 EntraID(以及可能的其他 Azure 服务)的交互变得更加容易,因为操作员无需获取用户的明文密码、从系统中提取主刷新令牌 (PRT) cookie、通过 SOCKS 代理运行其他工具或浏览器会话,也无需处理 Azure 身份验证流程、令牌或条件访问策略,即可代表登录用户在 Azure 中执行操作。
Maestro 本质上是本地 PRT cookie 请求和对 Microsoft Graph API 调用的包装器,为红队成员添加了许多生活质量功能。Maestro 启用本地和 Azure 之间的攻击路径。例如,通过在 Intune 管理员的机器上运行 Maestro,您可以在任何已注册的设备上执行 PowerShell 脚本,而无需知道管理员的凭据,即使条件访问策略要求 MFA、设备合规性和混合加入的设备。
Maestro 的横向移动功能受到了Andy Robbins(@_wald0 )撰写的《从天而降的死亡:从 Azure 到 On-Prem AD 的横向移动》的启发https://posts.specterops.io/death-from-above-lateral-movement-from-azure-to-on-prem-ad-d18cb3959d4d。
您可以在 Maestro 的此介绍性博客文章中阅读更多内容:https