gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom

Browse Source
This commit is contained in:
Translator
2025-02-17 18:21:41 +00:00
parent 7c9d274b4e
commit 9257d0297f
2 changed files with 34 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@@ -487,6 +487,7 @@
- [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md)
- [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md)
- [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md)
- [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md)
- [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md)
- [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md)
- [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md)

33
src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md Normal file
View File

@@ -0,0 +1,33 @@
# Az - Persistência em Contas de Automação
{{#include ../../../banners/hacktricks-training.md}}
## Privesc de Armazenamento
Para mais informações sobre Contas de Automação, consulte:
{{#ref}}
../az-services/az-automation-accounts.md
{{#endref}}
### Backdoor em runbook existente
Se um atacante tiver acesso à conta de automação, ele poderia **adicionar uma backdoor** a um runbook existente para **manter a persistência** e **exfiltrar dados** como tokens toda vez que o runbook for executado.
### Agendas e Webhooks
Crie ou modifique um Runbook existente e adicione uma agenda ou webhook a ele. Isso permitirá que um atacante **mantenha a persistência mesmo se o acesso ao ambiente for perdido** ao executar a backdoor que pode estar vazando tokens do MI em horários específicos ou sempre que desejar, enviando uma solicitação para o webhook.
### Malware dentro de uma VM usada em um grupo de trabalhadores híbridos
Se uma VM for usada como um grupo de trabalhadores híbridos, um atacante poderia **instalar malware** dentro da VM para **manter a persistência** e **exfiltrar dados** como tokens para as identidades gerenciadas dadas à VM e à conta de automação usando a VM.
### Pacotes de ambiente personalizados
Se a conta de automação estiver usando pacotes personalizados em ambientes personalizados, um atacante poderia **modificar o pacote** para **manter a persistência** e **exfiltrar dados** como tokens. Isso também seria um método de persistência furtiva, pois pacotes personalizados carregados manualmente raramente são verificados quanto a código malicioso.
### Comprometimento de repositórios externos
Se a conta de automação estiver usando repositórios externos para armazenar o código, como o Github, um atacante poderia **comprometer o repositório** para **manter a persistência** e **exfiltrar dados** como tokens. Isso é especialmente interessante se a versão mais recente do código for sincronizada automaticamente com o runbook.
{{#include ../../../banners/hacktricks-training.md}}