Stackdriver-Protokollierung

Stackdriver wird als umfassendes Infrastruktur-Protokollierungssuite von Google angeboten. Es hat die Fähigkeit, sensible Daten durch Funktionen wie Syslog zu erfassen, das einzelne Befehle ausführt, die in Compute-Instanzen ausgeführt werden. Darüber hinaus überwacht es HTTP-Anfragen, die an Lastenausgleicher oder App Engine-Anwendungen gesendet werden, Metadaten zu Netzwerkpaketen innerhalb von VPC-Kommunikationen und mehr.

Für eine Compute-Instanz benötigt der entsprechende Dienstaccount lediglich WRITE-Berechtigungen, um das Protokollieren von Instanzaktivitäten zu ermöglichen. Es ist jedoch möglich, dass ein Administrator dem Dienstaccount versehentlich sowohl READ- als auch WRITE-Berechtigungen erteilt. In solchen Fällen können die Protokolle auf sensible Informationen überprüft werden.

Um dies zu erreichen, bietet das gcloud-Protokollierungstool eine Reihe von Tools. Es wird empfohlen, zunächst die Arten von Protokollen zu identifizieren, die in Ihrem aktuellen Projekt vorhanden sind.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referenzen

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/