HackTricks CloudAz - Automation Accounts Persistence
Reading time: 3 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Storage Privesc
Für weitere Informationen zu Automation Accounts siehe:
Backdoor bestehender Runbook
Wenn ein Angreifer Zugriff auf das Automatisierungskonto hat, könnte er eine Backdoor hinzufügen zu einem bestehenden Runbook, um Persistenz aufrechtzuerhalten und Daten wie Tokens jedes Mal zu exfiltrieren, wenn das Runbook ausgeführt wird.
Zeitpläne & Webhooks
Erstellen oder ändern Sie ein bestehendes Runbook und fügen Sie einen Zeitplan oder Webhook hinzu. Dies ermöglicht es einem Angreifer, Persistenz aufrechtzuerhalten, selbst wenn der Zugriff auf die Umgebung verloren geht, indem er die Backdoor ausführt, die möglicherweise Tokens von der MI zu bestimmten Zeiten oder wann immer er möchte, durch das Senden einer Anfrage an den Webhook leakt.
Malware innerhalb einer VM, die in einer hybriden Worker-Gruppe verwendet wird
Wenn eine VM als hybride Worker-Gruppe verwendet wird, könnte ein Angreifer Malware innerhalb der VM installieren, um Persistenz aufrechtzuerhalten und Daten wie Tokens für die verwalteten Identitäten, die der VM und dem Automatisierungskonto zugewiesen sind, zu exfiltrieren.
Benutzerdefinierte Umgebungs-Pakete
Wenn das Automatisierungskonto benutzerdefinierte Pakete in benutzerdefinierten Umgebungen verwendet, könnte ein Angreifer das Paket ändern, um Persistenz aufrechtzuerhalten und Daten wie Tokens zu exfiltrieren. Dies wäre auch eine stealth Persistenzmethode, da manuell hochgeladene benutzerdefinierte Pakete selten auf bösartigen Code überprüft werden.
Kompromittierung externer Repos
Wenn das Automatisierungskonto externe Repos zur Speicherung des Codes wie Github verwendet, könnte ein Angreifer das Repo kompromittieren, um Persistenz aufrechtzuerhalten und Daten wie Tokens zu exfiltrieren. Dies ist besonders interessant, wenn die neueste Version des Codes automatisch mit dem Runbook synchronisiert wird.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.