Az - Automation Accounts Persistence

Tip

Impara & pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Sostieni HackTricks

• Controlla i subscription plans!
• Unisciti al 💬 Discord group o al telegram group o seguici su Twitter 🐦 @hacktricks_live.
• Condividi hacking tricks inviando PRs ai HackTricks e HackTricks Cloud github repos.

Storage Privesc

Per ulteriori informazioni sugli Automation Accounts, controlla:

Az - Automation Accounts

Backdoor existing runbook

Se un attaccante ha accesso all’account di automazione, potrebbe aggiungere una backdoor a un runbook esistente per mantenere la persistenza e esfiltrare dati come token ogni volta che il runbook viene eseguito.

Schedules & Webhooks

Crea o modifica un Runbook esistente e aggiungi un programma o un webhook. Questo permetterà a un attaccante di mantenere la persistenza anche se l’accesso all’ambiente è stato perso eseguendo la backdoor che potrebbe esfiltrare token dal MI in momenti specifici o ogni volta che vuole inviando una richiesta al webhook.

Malware inside a VM used in a hybrid worker group

Se una VM è utilizzata come parte di un gruppo di lavoro ibrido, un attaccante potrebbe installare malware all’interno della VM per mantenere la persistenza e esfiltrare dati come token per le identità gestite date alla VM e all’account di automazione utilizzando la VM.

Custom environment packages

Se l’account di automazione utilizza pacchetti personalizzati in ambienti personalizzati, un attaccante potrebbe modificare il pacchetto per mantenere la persistenza e esfiltrare dati come token. Questo sarebbe anche un metodo di persistenza furtiva poiché i pacchetti personalizzati caricati manualmente vengono raramente controllati per codice malevolo.

Compromise external repos

Se l’account di automazione utilizza repository esterni per memorizzare il codice come Github, un attaccante potrebbe compromettere il repo per mantenere la persistenza e esfiltrare dati come token. Questo è particolarmente interessante se l’ultima versione del codice è sincronizzata automaticamente con il runbook.

Tip

Impara & pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Sostieni HackTricks

• Controlla i subscription plans!
• Unisciti al 💬 Discord group o al telegram group o seguici su Twitter 🐦 @hacktricks_live.
• Condividi hacking tricks inviando PRs ai HackTricks e HackTricks Cloud github repos.