GCP - Stackdriver Enum

Stackdriver logging

Stackdriver es reconocido como un conjunto integral de registro de infraestructura ofrecido por Google. Tiene la capacidad de capturar datos sensibles a través de características como syslog, que informa sobre comandos individuales ejecutados dentro de las Instancias de Cómputo. Además, monitorea las solicitudes HTTP enviadas a balanceadores de carga o aplicaciones de App Engine, metadatos de paquetes de red dentro de las comunicaciones de VPC, y más.

Para una Instancia de Cómputo, la cuenta de servicio correspondiente requiere únicamente permisos de ESCRITURA para facilitar el registro de actividades de la instancia. No obstante, es posible que un administrador pueda inadvertidamente proporcionar a la cuenta de servicio tanto permisos de LECTURA como de ESCRITURA. En tales casos, los registros pueden ser examinados en busca de información sensible.

Para lograr esto, la utilidad gcloud logging ofrece un conjunto de herramientas. Inicialmente, se recomienda identificar los tipos de registros presentes en su proyecto actual.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referencias

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/