GCP - Cloud Shell Persistence
Cloud Shell
자세한 정보는 다음을 확인하세요:
Persistent Backdoor
Google Cloud Shell은 브라우저에서 직접 클라우드 리소스에 대한 명령줄 액세스를 제공하며, 관련 비용이 없습니다.
웹 콘솔에서 또는 **gcloud cloud-shell ssh**를 실행하여 Google의 Cloud Shell에 액세스할 수 있습니다.
이 콘솔은 공격자에게 몇 가지 흥미로운 기능을 제공합니다:
Google Cloud에 액세스할 수 있는 모든 Google 사용자는 완전히 인증된 Cloud Shell 인스턴스에 액세스할 수 있습니다 (서비스 계정도 조직의 소유자일 경우 가능합니다).
해당 인스턴스는 활동이 없으면 최소 120일 동안 홈 디렉토리를 유지합니다.
해당 인스턴스의 활동을 모니터링할 수 있는 조직의 기능이 없습니다.
이는 기본적으로 공격자가 사용자의 홈 디렉토리에 백도어를 설치할 수 있으며, 사용자가 최소 120일마다 GC Shell에 연결하기만 하면 백도어가 살아남고 공격자는 매번 실행할 때마다 셸을 얻을 수 있음을 의미합니다:
홈 폴더에 **.customize_environment**라는 또 다른 파일이 있으며, 이 파일이 존재하면 사용자가 cloud shell에 접근할 때마다 실행됩니다 (이전 기술과 유사하게). 사용자가 "자주" cloud shell을 사용할 때 지속성을 유지하기 위해 이전 백도어 또는 다음과 같은 백도어를 삽입하십시오:
인증이 필요한 작업을 처음 수행할 때, 사용자의 브라우저에 팝업 인증 창이 나타나는 것이 중요합니다. 이 창은 명령이 실행되기 전에 수락해야 합니다. 예상치 못한 팝업이 나타나면 의심을 불러일으킬 수 있으며 사용 중인 지속성 방법이 손상될 수 있습니다.
이것은 클라우드 셸에서 gcloud projects list를 실행한 후 (공격자로서) 브라우저 사용자 세션에서 본 팝업입니다:
그러나 사용자가 클라우드 셸을 적극적으로 사용한 경우, 팝업이 나타나지 않으며 사용자의 토큰을 수집할 수 있습니다:
SSH 연결이 설정되는 방법
기본적으로, 이 3개의 API 호출이 사용됩니다:
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey [POST] (로컬에서 생성한 공개 키를 추가하게 됩니다)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start [POST] (인스턴스를 시작하게 됩니다)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default [GET] (구글 클라우드 셸의 IP를 알려줍니다)
하지만 https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key에서 추가 정보를 찾을 수 있습니다.
참고자료
Last updated
