gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-13 05:16:32 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom

Browse Source
This commit is contained in:
Translator
2025-02-17 18:21:49 +00:00
parent f03d54c4af
commit 3cd61332cf
2 changed files with 34 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

33
src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md Normal file
View File

@@ -0,0 +1,33 @@
# Az - Persistencia de Cuentas de Automatización
{{#include ../../../banners/hacktricks-training.md}}
## Privesc de Almacenamiento
Para más información sobre Cuentas de Automatización, consulta:
{{#ref}}
../az-services/az-automation-accounts.md
{{#endref}}
### Puerta trasera en runbook existente
Si un atacante tiene acceso a la cuenta de automatización, podría **agregar una puerta trasera** a un runbook existente para **mantener persistencia** y **exfiltrar datos** como tokens cada vez que se ejecute el runbook.
### Horarios y Webhooks
Crea o modifica un Runbook existente y añade un horario o webhook a él. Esto permitirá a un atacante **mantener persistencia incluso si se pierde el acceso al entorno** al ejecutar la puerta trasera que podría estar filtrando tokens de la MI en momentos específicos o cada vez que lo desee enviando una solicitud al webhook.
### Malware dentro de una VM utilizada en un grupo de trabajadores híbridos
Si una VM se utiliza como un grupo de trabajadores híbridos, un atacante podría **instalar malware** dentro de la VM para **mantener persistencia** y **exfiltrar datos** como tokens para las identidades gestionadas otorgadas a la VM y a la cuenta de automatización utilizando la VM.
### Paquetes de entorno personalizados
Si la cuenta de automatización está utilizando paquetes personalizados en entornos personalizados, un atacante podría **modificar el paquete** para **mantener persistencia** y **exfiltrar datos** como tokens. Este también sería un método de persistencia sigiloso, ya que los paquetes personalizados subidos manualmente rara vez son revisados en busca de código malicioso.
### Compromiso de repositorios externos
Si la cuenta de automatización está utilizando repositorios externos para almacenar el código como Github, un atacante podría **comprometer el repositorio** para **mantener persistencia** y **exfiltrar datos** como tokens. Esto es especialmente interesante si la última versión del código se sincroniza automáticamente con el runbook.
{{#include ../../../banners/hacktricks-training.md}}