j-dahl7/arc-cloud-c2-sentinel
GitHub: j-dahl7/arc-cloud-c2-sentinel
针对 Azure Arc 身份接管和 Living-off-the-Cloud C2 攻击的 Sentinel 检测实验平台,提供完整攻击链的分析规则、狩猎查询及攻击模拟脚本。
Stars: 0 | Forks: 0
# Arc 到云端 C2 — Sentinel 检测实验
针对完整攻击链的 Sentinel 检测实验:**Azure Arc 身份接管** (CVE-2026-26117) → 通过 Azure Blob Storage 进行 **Living-off-the-Cloud C2** → **Key Vault 凭据窃取** (Storm-0501 模式)。
**博文:** [从 Azure Arc 到云端 C2:使用 Sentinel 检测身份接管和 Living-off-the-Cloud 攻击](https://nineliveszerotrust.com/blog/arc-to-cloud-c2-sentinel/)
## 部署内容
| 资源 | 类型 | 攻击阶段 |
|----------|------|-------------|
| 存储账户 (Blob + 队列诊断) | Bicep | C2 通道目标 |
| Key Vault (审计日志 + 实验室密钥) | Bicep | 凭据窃取目标 |
| LAB - 用户部署的 Azure Arc 扩展 | 分析规则 (高) | 横向移动 |
| LAB - Azure Arc 监控代理被移除 | 分析规则 (高) | 防御规避 |
| LAB - 首次访问 Key Vault 密钥的 SP | 分析规则 (中) | 凭据访问 |
| LAB - 存储 Blob C2 信标模式 | 分析规则 (中) | 指挥与控制 (C2) |
| LAB - 大量 Key Vault 密钥检索 | 分析规则 (高) | 凭据访问 |
| Arc 与云端 C2 仪表板 | 工作簿 | 所有阶段 |
## MITRE ATT&CK 覆盖范围
| 技术 | ID | 规则 |
|---|---|---|
| 横向工具转移 | T1570 | Arc 扩展部署 |
| 破坏防御 | T1562.001 | 监控代理移除 |
| 不安全的凭据 | T1552 | KV 首次访问, 大量 KV 检索 |
| 应用层协议 | T1071.001 | Blob C2 信标 |
| Web 服务: 双向 | T1102.002 | Blob C2 信标 |
| 云 API | T1059.009 | 所有规则 |
## 快速开始
```
# 部署基础设施 + 规则 + workbook
./scripts/Deploy-Lab.ps1 \
-ResourceGroup "arc-c2-lab-rg" \
-SentinelResourceGroup "rg-sentinel-lab" \
-WorkspaceName "law-sentinel-lab"
# 模拟 C2 流量 (生成 StorageBlobLogs)
./scripts/Test-C2Simulation.ps1 \
-StorageAccountName "" \
-ResourceGroup "arc-c2-lab-rg"
```
## 前置条件
- 已启用 Microsoft Sentinel 的 Azure 订阅
- PowerShell 7.0+ 及 Azure CLI
- 角色:Contributor (Bicep),Microsoft Sentinel Contributor (规则)
## 清理
```
az group delete --name arc-c2-lab-rg --yes --no-wait
```
## 参考
- [CVE-2026-26117 — Cymulate 研究](https://cymulate.com/blog/cve-2026-26117-azure-arc-windows-lpe-cloud-identity-takeover/)
- [SpecterOps azureBlob C2 配置](https://specterops.io/blog/2026/01/30/weaponizing-whitelists-an-azure-blob-storage-mythic-c2-profile/)
- [Storm-0501 勒索软件 — Microsoft](https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/)
- [Picus 红色报告 2026](https://www.picussecurity.com/resource/report/red-report-2026)
- [SesameOp 后门 — Microsoft DART](https://www.microsoft.com/en-us/security/blog/2025/11/03/sesameop-novel-backdoor-uses-openai-assistants-api-for-command-and-control/)
## 许可证
MIT
标签:AI合规, Azure Arc, Azure Sentinel, Bicep 模板, Blob Storage, C2 攻击, Cloudflare, CVE-2026-26117, Key Vault, Libemu, Living-off-the-Cloud, MITRE ATT&CK, StruQ, 安全实验室, 检测规则, 横向移动, 私有化部署, 编程规范, 网络资产发现, 身份接管, 防御规避