Az - Održavanje u Automatizovanim Nalozima

Reading time: 3 minutes

Privesc za Skladištenje

Za više informacija o Automatizovanim Nalozima pogledajte:

Az - Automation Accounts

Backdoor u postojećem runbook-u

Ako napadač ima pristup automatizovanom nalogu, mogao bi dodati backdoor u postojeći runbook kako bi održao postojanost i izvukao podatke poput tokena svaki put kada se runbook izvrši.

Rasporedi i Webhook-ovi

Kreirajte ili izmenite postojeći Runbook i dodajte raspored ili webhook. Ovo će omogućiti napadaču da održi postojanost čak i ako je pristup okruženju izgubljen izvršavanjem backdoor-a koji može curiti tokene iz MI u određenim vremenskim intervalima ili kad god želi slanjem zahteva na webhook.

Malware unutar VM-a korišćenog u hibridnoj radnoj grupi

Ako se VM koristi kao hibridna radna grupa, napadač bi mogao instalirati malware unutar VM-a kako bi održao postojanost i izvukao podatke poput tokena za upravljane identitete dodeljene VM-u i automatizovanom nalogu koristeći VM.

Prilagođeni paketi okruženja

Ako automatizovani nalog koristi prilagođene pakete u prilagođenim okruženjima, napadač bi mogao izmeniti paket kako bi održao postojanost i izvukao podatke poput tokena. Ovo bi takođe bila metoda postojanosti koja se teško otkriva, jer se prilagođeni paketi koji su ručno otpremljeni retko proveravaju na zlonamerni kod.

Kompromitovanje spoljašnjih repozitorijuma

Ako automatizovani nalog koristi spoljašnje repozitorijume za skladištenje koda poput Githuba, napadač bi mogao kompromitovati repo kako bi održao postojanost i izvukao podatke poput tokena. Ovo je posebno zanimljivo ako se najnovija verzija koda automatski sinhronizuje sa runbook-om.