GCP - Stackdriver Enum

Stackdriver logging

Stackdriver é reconhecido como um conjunto abrangente de registro de infraestrutura oferecido pelo Google. Ele tem a capacidade de capturar dados sensíveis através de recursos como syslog, que relata comandos individuais executados dentro das Instâncias de Computação. Além disso, monitora solicitações HTTP enviadas para balanceadores de carga ou aplicativos do App Engine, metadados de pacotes de rede dentro das comunicações VPC e mais.

Para uma Instância de Computação, a conta de serviço correspondente requer apenas permissões de WRITE para facilitar o registro das atividades da instância. No entanto, é possível que um administrador possa inadvertidamente fornecer à conta de serviço permissões de READ e WRITE. Nesses casos, os logs podem ser examinados em busca de informações sensíveis.

Para realizar isso, a ferramenta gcloud logging oferece um conjunto de ferramentas. Inicialmente, é recomendável identificar os tipos de logs presentes em seu projeto atual.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referências

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/