GCP - Stackdriver Enum

Registro de Stackdriver

Stackdriver es reconocido como un completo conjunto de registro de infraestructura ofrecido por Google. Tiene la capacidad de capturar datos sensibles a través de funciones como syslog, que informa sobre comandos individuales ejecutados dentro de las Instancias de Cómputo. Además, monitorea las solicitudes HTTP enviadas a balanceadores de carga o aplicaciones de App Engine, metadatos de paquetes de red dentro de comunicaciones de VPC, y más.

Para una Instancia de Cómputo, la cuenta de servicio correspondiente solo requiere permisos de ESCRITURA para facilitar el registro de actividades de la instancia. Sin embargo, es posible que un administrador proporcione involuntariamente a la cuenta de servicio tanto permisos de LECTURA como de ESCRITURA. En tales casos, los registros pueden ser examinados en busca de información sensible.

Para lograr esto, la utilidad gcloud logging ofrece un conjunto de herramientas. Inicialmente, se recomienda identificar los tipos de registros presentes en tu proyecto actual.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referencias

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/