GCP - Stackdriver Enum

Stackdriver logging

Stackdriver jest uznawany za kompleksowy zestaw logowania infrastruktury oferowany przez Google. Ma zdolność do przechwytywania wrażliwych danych dzięki funkcjom takim jak syslog, który raportuje poszczególne polecenia wykonywane w ramach Instancji Obliczeniowych. Ponadto monitoruje żądania HTTP wysyłane do równoważników obciążenia lub aplikacji App Engine, metadane pakietów sieciowych w komunikacji VPC i inne.

Dla Instancji Obliczeniowej, odpowiadające konto usługi wymaga jedynie uprawnień WRITE, aby umożliwić logowanie aktywności instancji. Niemniej jednak, istnieje możliwość, że administrator mógłby nieumyślnie przyznać konto usługi zarówno uprawnienia READ, jak i WRITE. W takich przypadkach logi mogą być analizowane pod kątem wrażliwych informacji.

Aby to osiągnąć, narzędzie gcloud logging oferuje zestaw narzędzi. Początkowo zaleca się zidentyfikowanie typów logów obecnych w Twoim aktualnym projekcie.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Odniesienia

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/