AWS - SSM Perssitence

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

SSM

Aby uzyskać więcej informacji, zobacz:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Użycie ssm:CreateAssociation for persistence

Atakujący z uprawnieniem ssm:CreateAssociation może utworzyć State Manager Association, aby automatycznie wykonywać polecenia na instancjach EC2 zarządzanych przez SSM. Te associations można skonfigurować tak, by uruchamiały się w stałych odstępach czasu, co czyni je odpowiednimi do backdoor-like persistence bez interaktywnych sesji.

aws ssm create-association \
--name SSM-Document-Name \
--targets Key=InstanceIds,Values=target-instance-id \
--parameters commands=["malicious-command"] \
--schedule-expression "rate(30 minutes)" \
--association-name association-name

Note

Ta metoda utrzymywania dostępu działa tak długo, jak instancja EC2 jest zarządzana przez Systems Manager, SSM agent działa, a atakujący ma uprawnienia do tworzenia associations. Nie wymaga interaktywnych sesji ani jawnych uprawnień ssm:SendCommand. Ważne: parametr --schedule-expression (np. rate(30 minutes)) musi respektować minimalny odstęp AWS wynoszący 30 minut. Dla natychmiastowego lub jednorazowego wykonania pomiń całkowicie --schedule-expression — association wykona się raz po utworzeniu.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks