diff --git a/src/SUMMARY.md b/src/SUMMARY.md index c53000a33..227605b06 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -487,6 +487,7 @@ - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md) - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md) - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md) + - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md) - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md) - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md) - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md new file mode 100644 index 000000000..ea5552a8b --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md @@ -0,0 +1,33 @@ +# Az - Persistencia de Cuentas de Automatización + +{{#include ../../../banners/hacktricks-training.md}} + +## Privesc de Almacenamiento + +Para más información sobre Cuentas de Automatización, consulta: + +{{#ref}} +../az-services/az-automation-accounts.md +{{#endref}} + +### Puerta trasera en runbook existente + +Si un atacante tiene acceso a la cuenta de automatización, podría **agregar una puerta trasera** a un runbook existente para **mantener persistencia** y **exfiltrar datos** como tokens cada vez que se ejecute el runbook. + +### Horarios y Webhooks + +Crea o modifica un Runbook existente y añade un horario o webhook a él. Esto permitirá a un atacante **mantener persistencia incluso si se pierde el acceso al entorno** al ejecutar la puerta trasera que podría estar filtrando tokens de la MI en momentos específicos o cada vez que lo desee enviando una solicitud al webhook. + +### Malware dentro de una VM utilizada en un grupo de trabajadores híbridos + +Si una VM se utiliza como un grupo de trabajadores híbridos, un atacante podría **instalar malware** dentro de la VM para **mantener persistencia** y **exfiltrar datos** como tokens para las identidades gestionadas otorgadas a la VM y a la cuenta de automatización utilizando la VM. + +### Paquetes de entorno personalizados + +Si la cuenta de automatización está utilizando paquetes personalizados en entornos personalizados, un atacante podría **modificar el paquete** para **mantener persistencia** y **exfiltrar datos** como tokens. Este también sería un método de persistencia sigiloso, ya que los paquetes personalizados subidos manualmente rara vez son revisados en busca de código malicioso. + +### Compromiso de repositorios externos + +Si la cuenta de automatización está utilizando repositorios externos para almacenar el código como Github, un atacante podría **comprometer el repositorio** para **mantener persistencia** y **exfiltrar datos** como tokens. Esto es especialmente interesante si la última versión del código se sincroniza automáticamente con el runbook. + +{{#include ../../../banners/hacktricks-training.md}}