Az - Persistencia de Cuentas de Automatización

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

Privesc de Almacenamiento

Para más información sobre Cuentas de Automatización, consulta:

Az - Automation Accounts

Puerta trasera en runbook existente

Si un atacante tiene acceso a la cuenta de automatización, podría agregar una puerta trasera a un runbook existente para mantener persistencia y exfiltrar datos como tokens cada vez que se ejecute el runbook.

Horarios y Webhooks

Crea o modifica un Runbook existente y añade un horario o webhook a él. Esto permitirá a un atacante mantener persistencia incluso si se pierde el acceso al entorno al ejecutar la puerta trasera que podría estar filtrando tokens de la MI en momentos específicos o cada vez que lo desee enviando una solicitud al webhook.

Malware dentro de una VM utilizada en un grupo de trabajadores híbridos

Si una VM se utiliza como un grupo de trabajadores híbridos, un atacante podría instalar malware dentro de la VM para mantener persistencia y exfiltrar datos como tokens para las identidades gestionadas otorgadas a la VM y a la cuenta de automatización utilizando la VM.

Paquetes de entorno personalizados

Si la cuenta de automatización está utilizando paquetes personalizados en entornos personalizados, un atacante podría modificar el paquete para mantener persistencia y exfiltrar datos como tokens. Este también sería un método de persistencia sigiloso, ya que los paquetes personalizados subidos manualmente rara vez son revisados en busca de código malicioso.

Compromiso de repositorios externos

Si la cuenta de automatización está utilizando repositorios externos para almacenar el código como Github, un atacante podría comprometer el repositorio para mantener persistencia y exfiltrar datos como tokens. Esto es especialmente interesante si la última versión del código se sincroniza automáticamente con el runbook.

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.