diff --git a/src/SUMMARY.md b/src/SUMMARY.md index c53000a33..227605b06 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -487,6 +487,7 @@ - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md) - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md) - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md) + - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md) - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md) - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md) - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md new file mode 100644 index 000000000..ea2bc9e49 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md @@ -0,0 +1,33 @@ +# Az - Persistência em Contas de Automação + +{{#include ../../../banners/hacktricks-training.md}} + +## Privesc de Armazenamento + +Para mais informações sobre Contas de Automação, consulte: + +{{#ref}} +../az-services/az-automation-accounts.md +{{#endref}} + +### Backdoor em runbook existente + +Se um atacante tiver acesso à conta de automação, ele poderia **adicionar uma backdoor** a um runbook existente para **manter a persistência** e **exfiltrar dados** como tokens toda vez que o runbook for executado. + +### Agendas e Webhooks + +Crie ou modifique um Runbook existente e adicione uma agenda ou webhook a ele. Isso permitirá que um atacante **mantenha a persistência mesmo se o acesso ao ambiente for perdido** ao executar a backdoor que pode estar vazando tokens do MI em horários específicos ou sempre que desejar, enviando uma solicitação para o webhook. + +### Malware dentro de uma VM usada em um grupo de trabalhadores híbridos + +Se uma VM for usada como um grupo de trabalhadores híbridos, um atacante poderia **instalar malware** dentro da VM para **manter a persistência** e **exfiltrar dados** como tokens para as identidades gerenciadas dadas à VM e à conta de automação usando a VM. + +### Pacotes de ambiente personalizados + +Se a conta de automação estiver usando pacotes personalizados em ambientes personalizados, um atacante poderia **modificar o pacote** para **manter a persistência** e **exfiltrar dados** como tokens. Isso também seria um método de persistência furtiva, pois pacotes personalizados carregados manualmente raramente são verificados quanto a código malicioso. + +### Comprometimento de repositórios externos + +Se a conta de automação estiver usando repositórios externos para armazenar o código, como o Github, um atacante poderia **comprometer o repositório** para **manter a persistência** e **exfiltrar dados** como tokens. Isso é especialmente interessante se a versão mais recente do código for sincronizada automaticamente com o runbook. + +{{#include ../../../banners/hacktricks-training.md}}