AWS - SSM Persistencia

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

SSM

Para más información consulta:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Uso de ssm:CreateAssociation para persistencia

Un atacante con el permiso ssm:CreateAssociation puede crear una State Manager Association para ejecutar comandos automáticamente en instancias EC2 gestionadas por SSM. Estas asociaciones se pueden configurar para ejecutarse a intervalos fijos, siendo adecuadas para persistencia tipo backdoor sin sesiones interactivas.

aws ssm create-association \
--name SSM-Document-Name \
--targets Key=InstanceIds,Values=target-instance-id \
--parameters commands=["malicious-command"] \
--schedule-expression "rate(30 minutes)" \
--association-name association-name

Note

Este método de persistencia funciona siempre que la instancia EC2 esté gestionada por Systems Manager, el agente SSM esté en ejecución y el atacante tenga permiso para crear asociaciones. No requiere sesiones interactivas ni permisos explícitos de ssm:SendCommand. Importante: El parámetro --schedule-expression (p. ej., rate(30 minutes)) debe respetar el intervalo mínimo de AWS de 30 minutos. Para una ejecución inmediata o única, omita --schedule-expression por completo — la asociación se ejecutará una vez después de su creación.

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks