Az - Persistência em Contas de Automação

Reading time: 3 minutes

Privesc de Armazenamento

Para mais informações sobre Contas de Automação, consulte:

Az - Automation Accounts

Backdoor em runbook existente

Se um atacante tiver acesso à conta de automação, ele poderia adicionar uma backdoor a um runbook existente para manter a persistência e exfiltrar dados como tokens toda vez que o runbook for executado.

### Agendas e Webhooks

Crie ou modifique um Runbook existente e adicione uma agenda ou webhook a ele. Isso permitirá que um atacante mantenha a persistência mesmo se o acesso ao ambiente for perdido ao executar a backdoor que pode estar vazando tokens do MI em horários específicos ou sempre que desejar, enviando uma solicitação para o webhook.

Malware dentro de uma VM usada em um grupo de trabalhadores híbridos

Se uma VM for usada como um grupo de trabalhadores híbridos, um atacante poderia instalar malware dentro da VM para manter a persistência e exfiltrar dados como tokens para as identidades gerenciadas dadas à VM e à conta de automação usando a VM.

Pacotes de ambiente personalizados

Se a conta de automação estiver usando pacotes personalizados em ambientes personalizados, um atacante poderia modificar o pacote para manter a persistência e exfiltrar dados como tokens. Isso também seria um método de persistência furtiva, pois pacotes personalizados carregados manualmente raramente são verificados quanto a código malicioso.

Comprometimento de repositórios externos

Se a conta de automação estiver usando repositórios externos para armazenar o código, como o Github, um atacante poderia comprometer o repositório para manter a persistência e exfiltrar dados como tokens. Isso é especialmente interessante se a versão mais recente do código for sincronizada automaticamente com o runbook.