GCP - Stackdriver Enum

Stackdriver logovanje

Stackdriver je prepoznat kao sveobuhvatni infrastrukturni logging suite koji nudi Google. Ima sposobnost da prikuplja osetljive podatke putem funkcionalnosti poput syslog-a, koji prikazuje pojedinačne komande izvršene unutar Compute instanci. Osim toga, nadgleda HTTP zahteve poslate load balancerima ili App Engine aplikacijama, metapodatke mrežnih paketa unutar VPC komunikacija i još mnogo toga.

Za Compute instancu, odgovarajući servisni nalog zahteva samo WRITE dozvole kako bi omogućio logovanje aktivnosti instance. Međutim, moguće je da administrator nenamerno dodeli servisnom nalogu i READ i WRITE dozvole. U takvim slučajevima, logovi se mogu pregledati radi osetljivih informacija.

Da biste to postigli, alatka gcloud logging nudi set alata. Preporučuje se da prvo identifikujete vrste logova prisutnih u vašem trenutnom projektu.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Reference

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/