Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom

src/SUMMARY.md

@@ -487,6 +487,7 @@
     - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md)
     - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md)
   - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md)
+    - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md)
     - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md)
     - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md)
     - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md)

src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md

@@ -0,0 +1,33 @@
+# Az - Automation Accounts Persistence
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## Storage Privesc
+
+Pour plus d'informations sur les Automation Accounts, consultez :
+
+{{#ref}}
+../az-services/az-automation-accounts.md
+{{#endref}}
+
+### Backdoor existing runbook
+
+Si un attaquant a accès au compte d'automatisation, il pourrait **ajouter une porte dérobée** à un runbook existant pour **maintenir la persistance** et **exfiltrer des données** comme des tokens chaque fois que le runbook est exécuté.
+
+### Schedules & Webhooks
+
+Créez ou modifiez un Runbook existant et ajoutez-lui un horaire ou un webhook. Cela permettra à un attaquant de **maintenir la persistance même si l'accès à l'environnement est perdu** en exécutant la porte dérobée qui pourrait fuir des tokens du MI à des moments spécifiques ou chaque fois qu'il le souhaite en envoyant une requête au webhook.
+
+### Malware inside a VM used in a hybrid worker group
+
+Si une VM est utilisée comme un groupe de travailleurs hybrides, un attaquant pourrait **installer un malware** à l'intérieur de la VM pour **maintenir la persistance** et **exfiltrer des données** comme des tokens pour les identités gérées attribuées à la VM et au compte d'automatisation utilisant la VM.
+
+### Custom environment packages
+
+Si le compte d'automatisation utilise des packages personnalisés dans des environnements personnalisés, un attaquant pourrait **modifier le package** pour **maintenir la persistance** et **exfiltrer des données** comme des tokens. Cela serait également une méthode de persistance discrète, car les packages personnalisés téléchargés manuellement sont rarement vérifiés pour du code malveillant.
+
+### Compromise external repos
+
+Si le compte d'automatisation utilise des dépôts externes pour stocker le code comme Github, un attaquant pourrait **compromettre le dépôt** pour **maintenir la persistance** et **exfiltrer des données** comme des tokens. Cela est particulièrement intéressant si la dernière version du code est automatiquement synchronisée avec le runbook.
+
+{{#include ../../../banners/hacktricks-training.md}}