Translated ['src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-p

src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md

@@ -1 +1,27 @@
-# AWS - SSM Persistencia
+# AWS - SSM Perssitence
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## SSM
+
+Para más información, consulta:
+
+{{#ref}}
+../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/README.md
+{{#endref}}
+
+### Usando ssm:CreateAssociation para persistencia
+
+Un atacante con el permiso ssm:CreateAssociation puede crear una Asociación de State Manager para ejecutar automáticamente comandos en instancias de EC2 gestionadas por SSM. Estas asociaciones se pueden configurar para ejecutarse a intervalos fijos, lo que las hace adecuadas para una persistencia similar a una puerta trasera sin sesiones interactivas.
+```bash
+aws ssm create-association \
+--name SSM-Document-Name \
+--targets Key=InstanceIds,Values=target-instance-id \
+--parameters commands=["malicious-command"] \
+--schedule-expression "rate(30 minutes)" \
+--association-name association-name
+```
+> [!NOTE]
+> Este método de persistencia funciona siempre que la instancia EC2 sea gestionada por Systems Manager, el agente SSM esté en ejecución y el atacante tenga permiso para crear asociaciones. No requiere sesiones interactivas ni permisos explícitos de ssm:SendCommand. **Importante:** El parámetro `--schedule-expression` (por ejemplo, `rate(30 minutes)`) debe respetar el intervalo mínimo de 30 minutos de AWS. Para ejecución inmediata o única, omita `--schedule-expression` por completo: la asociación se ejecutará una vez después de la creación.
+
+{{#include ../../../banners/hacktricks-training.md}}