GCP - Stackdriver Enum

Stackdriver logging

Stackdriver wird als umfassende Infrastruktur Logging-Suite von Google anerkannt. Es hat die Fähigkeit, sensible Daten durch Funktionen wie Syslog zu erfassen, das einzelne Befehle meldet, die innerhalb von Compute-Instanzen ausgeführt werden. Darüber hinaus überwacht es HTTP-Anfragen, die an Lastenausgleicher oder App Engine-Anwendungen gesendet werden, Netzwerkpaket-Metadaten innerhalb von VPC-Kommunikationen und mehr.

Für eine Compute-Instanz benötigt das entsprechende Dienstkonto lediglich WRITE-Berechtigungen, um das Logging von Instanzaktivitäten zu ermöglichen. Es ist jedoch möglich, dass ein Administrator dem Dienstkonto versehentlich sowohl READ- als auch WRITE-Berechtigungen gewährt. In solchen Fällen können die Protokolle auf sensible Informationen überprüft werden.

Um dies zu erreichen, bietet das gcloud logging Dienstprogramm eine Reihe von Werkzeugen. Zunächst wird empfohlen, die Arten von Protokollen in Ihrem aktuellen Projekt zu identifizieren.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referenzen

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/