Az - Automation Accounts Persistence

Reading time: 3 minutes

Storage Privesc

Kwa maelezo zaidi kuhusu Akaunti za Uendeshaji angalia:

Az - Automation Accounts

Backdoor existing runbook

Ikiwa mshambuliaji ana ufikiaji wa akaunti ya uendeshaji, anaweza kuongeza backdoor kwenye runbook iliyopo ili kuhifadhi uthibitisho na kuhamasisha data kama tokens kila wakati runbook inatekelezwa.

### Schedules & Webhooks

Unda au badilisha Runbook iliyopo na ongeza ratiba au webhook kwake. Hii itamruhusu mshambuliaji kuhifadhi uthibitisho hata kama ufikiaji wa mazingira umepotea kwa kutekeleza backdoor ambayo inaweza kuwa inavuja tokens kutoka MI kwa nyakati maalum au wakati wowote anapotaka kwa kutuma ombi kwa webhok.

Malware inside a VM used in a hybrid worker group

Ikiwa VM inatumika kama kikundi cha wafanyakazi wa mchanganyiko, mshambuliaji anaweza kusanidi malware ndani ya VM ili kuhifadhi uthibitisho na kuhamasisha data kama tokens kwa utambulisho wa kusimamiwa uliotolewa kwa VM na kwa akaunti ya uendeshaji kwa kutumia VM.

Custom environment packages

Ikiwa akaunti ya uendeshaji inatumia pakiti za kawaida katika mazingira maalum, mshambuliaji anaweza kubadilisha pakiti ili kuhifadhi uthibitisho na kuhamasisha data kama tokens. Hii pia itakuwa njia ya siri ya kuhifadhi uthibitisho kwani pakiti za kawaida zilizopakiwa kwa mikono mara nyingi hazikaguliwi kwa msimbo mbaya.

Compromise external repos

Ikiwa akaunti ya uendeshaji inatumia repos za nje kuhifadhi msimbo kama Github, mshambuliaji anaweza kudhoofisha repo ili kuhifadhi uthibitisho na kuhamasisha data kama tokens. Hii ni ya kuvutia hasa ikiwa toleo la hivi karibuni la msimbo linasawazishwa kiotomatiki na runbook.