gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-31 07:00:38 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom

Browse Source
This commit is contained in:
Translator
2025-02-17 18:21:41 +00:00
parent 1bf08e32ee
commit 7f5172e35e
2 changed files with 34 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

33
src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md Normal file
View File

@@ -0,0 +1,33 @@
# Az - Automation Accounts Persistence
{{#include ../../../banners/hacktricks-training.md}}
## Storage Privesc
Für weitere Informationen zu Automation Accounts siehe:
{{#ref}}
../az-services/az-automation-accounts.md
{{#endref}}
### Backdoor bestehender Runbook
Wenn ein Angreifer Zugriff auf das Automatisierungskonto hat, könnte er **eine Backdoor hinzufügen** zu einem bestehenden Runbook, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens jedes Mal zu **exfiltrieren**, wenn das Runbook ausgeführt wird.
### Zeitpläne & Webhooks
Erstellen oder ändern Sie ein bestehendes Runbook und fügen Sie einen Zeitplan oder Webhook hinzu. Dies ermöglicht es einem Angreifer, **Persistenz aufrechtzuerhalten, selbst wenn der Zugriff auf die Umgebung verloren geht**, indem er die Backdoor ausführt, die möglicherweise Tokens von der MI zu bestimmten Zeiten oder wann immer er möchte, durch das Senden einer Anfrage an den Webhook leakt.
### Malware innerhalb einer VM, die in einer hybriden Worker-Gruppe verwendet wird
Wenn eine VM als hybride Worker-Gruppe verwendet wird, könnte ein Angreifer **Malware** innerhalb der VM **installieren**, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens für die verwalteten Identitäten, die der VM und dem Automatisierungskonto zugewiesen sind, zu **exfiltrieren**.
### Benutzerdefinierte Umgebungs-Pakete
Wenn das Automatisierungskonto benutzerdefinierte Pakete in benutzerdefinierten Umgebungen verwendet, könnte ein Angreifer **das Paket ändern**, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens zu **exfiltrieren**. Dies wäre auch eine stealth Persistenzmethode, da manuell hochgeladene benutzerdefinierte Pakete selten auf bösartigen Code überprüft werden.
### Kompromittierung externer Repos
Wenn das Automatisierungskonto externe Repos zur Speicherung des Codes wie Github verwendet, könnte ein Angreifer **das Repo kompromittieren**, um **Persistenz aufrechtzuerhalten** und **Daten** wie Tokens zu **exfiltrieren**. Dies ist besonders interessant, wenn die neueste Version des Codes automatisch mit dem Runbook synchronisiert wird.
{{#include ../../../banners/hacktricks-training.md}}