GCP - Stackdriver Enum

Stackdriver logging

Stackdriver вважається комплексним набором логування інфраструктури, що пропонується Google. Він має можливість захоплювати чутливі дані через функції, такі як syslog, який повідомляє про окремі команди, виконані всередині обчислювальних екземплярів. Крім того, він моніторить HTTP-запити, надіслані до балансувальників навантаження або додатків App Engine, метадані мережевих пакетів у VPC-комунікаціях тощо.

Для обчислювального екземпляра відповідний обліковий запис служби вимагає лише WRITE дозволів для полегшення логування активностей екземпляра. Проте, можливо, що адміністратор може ненавмисно надати обліковому запису служби як READ, так і WRITE дозволи. У таких випадках журнали можуть бути перевірені на наявність чутливої інформації.

Для цього утиліта gcloud logging пропонує набір інструментів. Спочатку рекомендується визначити типи журналів, присутніх у вашому поточному проекті.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Посилання

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/