Az - Automation Accounts Persistence

Reading time: 3 minutes

Storage Privesc

Per ulteriori informazioni sugli Automation Accounts, controlla:

Az - Automation Accounts

Backdoor existing runbook

Se un attaccante ha accesso all'account di automazione, potrebbe aggiungere una backdoor a un runbook esistente per mantenere la persistenza e esfiltrare dati come token ogni volta che il runbook viene eseguito.

Schedules & Webhooks

Crea o modifica un Runbook esistente e aggiungi un programma o un webhook. Questo permetterà a un attaccante di mantenere la persistenza anche se l'accesso all'ambiente è stato perso eseguendo la backdoor che potrebbe esfiltrare token dal MI in momenti specifici o ogni volta che vuole inviando una richiesta al webhook.

Malware inside a VM used in a hybrid worker group

Se una VM è utilizzata come parte di un gruppo di lavoro ibrido, un attaccante potrebbe installare malware all'interno della VM per mantenere la persistenza e esfiltrare dati come token per le identità gestite date alla VM e all'account di automazione utilizzando la VM.

Custom environment packages

Se l'account di automazione utilizza pacchetti personalizzati in ambienti personalizzati, un attaccante potrebbe modificare il pacchetto per mantenere la persistenza e esfiltrare dati come token. Questo sarebbe anche un metodo di persistenza furtiva poiché i pacchetti personalizzati caricati manualmente vengono raramente controllati per codice malevolo.

Compromise external repos

Se l'account di automazione utilizza repository esterni per memorizzare il codice come Github, un attaccante potrebbe compromettere il repo per mantenere la persistenza e esfiltrare dati come token. Questo è particolarmente interessante se l'ultima versione del codice è sincronizzata automaticamente con il runbook.