AWS - SSM Kalıcılık

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

SSM

Daha fazla bilgi için bakınız:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

ssm:CreateAssociation ile kalıcılık

ssm:CreateAssociation iznine sahip bir saldırgan, SSM tarafından yönetilen EC2 instance’larında komutları otomatik olarak çalıştırmak için bir State Manager Association oluşturabilir. Bu State Manager Association’lar sabit aralıklarla çalışacak şekilde yapılandırılabilir; bu da etkileşimli oturumlar olmadan arka kapı benzeri kalıcılık için uygun hale getirir.

aws ssm create-association \
--name SSM-Document-Name \
--targets Key=InstanceIds,Values=target-instance-id \
--parameters commands=["malicious-command"] \
--schedule-expression "rate(30 minutes)" \
--association-name association-name

Note

Bu persistence yöntemi, EC2 instance’ı Systems Manager tarafından yönetildiği, SSM agent çalışır durumda olduğu ve saldırganın associations oluşturma iznine sahip olduğu sürece çalışır. Etkileşimli oturumlar veya açık ssm:SendCommand izinleri gerektirmez. Önemli: --schedule-expression parametresi (örn., rate(30 minutes)) AWS’nin minimum 30 dakikalık aralığına uymalıdır. Hemen veya tek seferlik çalıştırma için --schedule-expression parametresini tamamen kaldırın — association oluşturulduktan sonra bir kez çalıştırılacaktır.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin