From e1264b81ecb8922485267af219c0dcc1132f4939 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Thu, 24 Jul 2025 06:50:19 +0000
Subject: [PATCH] Translated
 ['src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-p

---
 .../aws-persistence/aws-ssm-perssitence.md    | 26 +++++++++++++++++++
 1 file changed, 26 insertions(+)

diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md
index bfa368fa3..33dc6cd5e 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md
@@ -1 +1,27 @@
 # AWS - SSM Persistenz
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## SSM
+
+Für weitere Informationen siehe:
+
+{{#ref}}
+../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/README.md
+{{#endref}}
+
+### Verwendung von ssm:CreateAssociation für Persistenz
+
+Ein Angreifer mit der Berechtigung ssm:CreateAssociation kann eine State Manager Association erstellen, um automatisch Befehle auf EC2-Instanzen auszuführen, die von SSM verwaltet werden. Diese Assoziationen können so konfiguriert werden, dass sie in festen Intervallen ausgeführt werden, was sie für eine backdoor-ähnliche Persistenz ohne interaktive Sitzungen geeignet macht.
+```bash
+aws ssm create-association \
+--name SSM-Document-Name \
+--targets Key=InstanceIds,Values=target-instance-id \
+--parameters commands=["malicious-command"] \
+--schedule-expression "rate(30 minutes)" \
+--association-name association-name
+```
+> [!NOTE]
+> Diese Persistenzmethode funktioniert, solange die EC2-Instanz von Systems Manager verwaltet wird, der SSM-Agent läuft und der Angreifer die Berechtigung hat, Assoziationen zu erstellen. Es sind keine interaktiven Sitzungen oder expliziten ssm:SendCommand-Berechtigungen erforderlich. **Wichtig:** Der Parameter `--schedule-expression` (z. B. `rate(30 minutes)`) muss das Mindestintervall von 30 Minuten von AWS einhalten. Für sofortige oder einmalige Ausführung den Parameter `--schedule-expression` vollständig weglassen — die Assoziation wird einmal nach der Erstellung ausgeführt.
+
+{{#include ../../../banners/hacktricks-training.md}}