Az - Automation Accounts Persistence

Reading time: 3 minutes

Storage Privesc

Pour plus d'informations sur les Automation Accounts, consultez :

Az - Automation Accounts

Backdoor existing runbook

Si un attaquant a accès au compte d'automatisation, il pourrait ajouter une porte dérobée à un runbook existant pour maintenir la persistance et exfiltrer des données comme des tokens chaque fois que le runbook est exécuté.

Schedules & Webhooks

Créez ou modifiez un Runbook existant et ajoutez-lui un horaire ou un webhook. Cela permettra à un attaquant de maintenir la persistance même si l'accès à l'environnement est perdu en exécutant la porte dérobée qui pourrait fuir des tokens du MI à des moments spécifiques ou chaque fois qu'il le souhaite en envoyant une requête au webhook.

Malware inside a VM used in a hybrid worker group

Si une VM est utilisée comme un groupe de travailleurs hybrides, un attaquant pourrait installer un malware à l'intérieur de la VM pour maintenir la persistance et exfiltrer des données comme des tokens pour les identités gérées attribuées à la VM et au compte d'automatisation utilisant la VM.

Custom environment packages

Si le compte d'automatisation utilise des packages personnalisés dans des environnements personnalisés, un attaquant pourrait modifier le package pour maintenir la persistance et exfiltrer des données comme des tokens. Cela serait également une méthode de persistance discrète, car les packages personnalisés téléchargés manuellement sont rarement vérifiés pour du code malveillant.

Compromise external repos

Si le compte d'automatisation utilise des dépôts externes pour stocker le code comme Github, un attaquant pourrait compromettre le dépôt pour maintenir la persistance et exfiltrer des données comme des tokens. Cela est particulièrement intéressant si la dernière version du code est automatiquement synchronisée avec le runbook.