From 7f5172e35eb13b103dc58bb581ff187ab9fc8d4d Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Feb 2025 18:21:41 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom --- src/SUMMARY.md | 1 + .../az-automation-accounts-persistence.md | 33 +++++++++++++++++++ 2 files changed, 34 insertions(+) create mode 100644 src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index c53000a33..227605b06 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -487,6 +487,7 @@ - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md) - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md) - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md) + - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md) - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md) - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md) - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md new file mode 100644 index 000000000..4f6ea9a39 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md @@ -0,0 +1,33 @@ +# Az - Automation Accounts Persistence + +{{#include ../../../banners/hacktricks-training.md}} + +## Storage Privesc + +Für weitere Informationen zu Automation Accounts siehe: + +{{#ref}} +../az-services/az-automation-accounts.md +{{#endref}} + +### Backdoor bestehender Runbook + +Wenn ein Angreifer Zugriff auf das Automatisierungskonto hat, könnte er **eine Backdoor hinzufügen** zu einem bestehenden Runbook, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens jedes Mal zu **exfiltrieren**, wenn das Runbook ausgeführt wird. + +### Zeitpläne & Webhooks + +Erstellen oder ändern Sie ein bestehendes Runbook und fügen Sie einen Zeitplan oder Webhook hinzu. Dies ermöglicht es einem Angreifer, **Persistenz aufrechtzuerhalten, selbst wenn der Zugriff auf die Umgebung verloren geht**, indem er die Backdoor ausführt, die möglicherweise Tokens von der MI zu bestimmten Zeiten oder wann immer er möchte, durch das Senden einer Anfrage an den Webhook leakt. + +### Malware innerhalb einer VM, die in einer hybriden Worker-Gruppe verwendet wird + +Wenn eine VM als hybride Worker-Gruppe verwendet wird, könnte ein Angreifer **Malware** innerhalb der VM **installieren**, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens für die verwalteten Identitäten, die der VM und dem Automatisierungskonto zugewiesen sind, zu **exfiltrieren**. + +### Benutzerdefinierte Umgebungs-Pakete + +Wenn das Automatisierungskonto benutzerdefinierte Pakete in benutzerdefinierten Umgebungen verwendet, könnte ein Angreifer **das Paket ändern**, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens zu **exfiltrieren**. Dies wäre auch eine stealth Persistenzmethode, da manuell hochgeladene benutzerdefinierte Pakete selten auf bösartigen Code überprüft werden. + +### Kompromittierung externer Repos + +Wenn das Automatisierungskonto externe Repos zur Speicherung des Codes wie Github verwendet, könnte ein Angreifer **das Repo kompromittieren**, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens zu **exfiltrieren**. Dies ist besonders interessant, wenn die neueste Version des Codes automatisch mit dem Runbook synchronisiert wird. + +{{#include ../../../banners/hacktricks-training.md}}