From f95ede1276f319a2ccbd2045456bdf06ce9b4f25 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Feb 2025 18:21:41 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom --- src/SUMMARY.md | 1 + .../az-automation-accounts-persistence.md | 33 +++++++++++++++++++ 2 files changed, 34 insertions(+) create mode 100644 src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index c53000a33..227605b06 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -487,6 +487,7 @@ - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md) - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md) - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md) + - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md) - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md) - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md) - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md new file mode 100644 index 000000000..dc65a1d36 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md @@ -0,0 +1,33 @@ +# Az - Automation Accounts Persistence + +{{#include ../../../banners/hacktricks-training.md}} + +## Storage Privesc + +Per ulteriori informazioni sugli Automation Accounts, controlla: + +{{#ref}} +../az-services/az-automation-accounts.md +{{#endref}} + +### Backdoor existing runbook + +Se un attaccante ha accesso all'account di automazione, potrebbe **aggiungere una backdoor** a un runbook esistente per **mantenere la persistenza** e **esfiltrare dati** come token ogni volta che il runbook viene eseguito. + +### Schedules & Webhooks + +Crea o modifica un Runbook esistente e aggiungi un programma o un webhook. Questo permetterà a un attaccante di **mantenere la persistenza anche se l'accesso all'ambiente è stato perso** eseguendo la backdoor che potrebbe esfiltrare token dal MI in momenti specifici o ogni volta che vuole inviando una richiesta al webhook. + +### Malware inside a VM used in a hybrid worker group + +Se una VM è utilizzata come parte di un gruppo di lavoro ibrido, un attaccante potrebbe **installare malware** all'interno della VM per **mantenere la persistenza** e **esfiltrare dati** come token per le identità gestite date alla VM e all'account di automazione utilizzando la VM. + +### Custom environment packages + +Se l'account di automazione utilizza pacchetti personalizzati in ambienti personalizzati, un attaccante potrebbe **modificare il pacchetto** per **mantenere la persistenza** e **esfiltrare dati** come token. Questo sarebbe anche un metodo di persistenza furtiva poiché i pacchetti personalizzati caricati manualmente vengono raramente controllati per codice malevolo. + +### Compromise external repos + +Se l'account di automazione utilizza repository esterni per memorizzare il codice come Github, un attaccante potrebbe **compromettere il repo** per **mantenere la persistenza** e **esfiltrare dati** come token. Questo è particolarmente interessante se l'ultima versione del codice è sincronizzata automaticamente con il runbook. + +{{#include ../../../banners/hacktricks-training.md}}