GCP - Cloud Shell Persistence
Cloud Shell
Per ulteriori informazioni controlla:
pageGCP - Cloud Shell EnumBackdoor Persistente
Google Cloud Shell ti fornisce accesso alla riga di comando alle risorse cloud direttamente dal tuo browser senza alcun costo associato.
Puoi accedere a Cloud Shell di Google dalla console web o eseguendo gcloud cloud-shell ssh
.
Questa console ha alcune capacità interessanti per gli attaccanti:
Qualsiasi utente Google con accesso a Google Cloud ha accesso a un'istanza di Cloud Shell completamente autenticata (gli Account di Servizio possono, anche essendo Proprietari dell'organizzazione).
Tale istanza manterrà la propria directory home per almeno 120 giorni se non avviene alcuna attività.
Non ci sono capacità per un'organizzazione di monitorare l'attività di quell'istanza.
Questo significa essenzialmente che un attaccante potrebbe inserire un backdoor nella directory home dell'utente e fintanto che l'utente si connette a GC Shell almeno ogni 120 giorni, la backdoor sopravviverà e l'attaccante otterrà una shell ogni volta che viene eseguita semplicemente facendo:
C'è un altro file nella cartella home chiamato .customize_environment
che, se esiste, verrà eseguito ogni volta che l'utente accede alla shell cloud (come nella tecnica precedente). Basta inserire il backdoor precedente o uno simile al seguente per mantenere la persistenza finché l'utente utilizza "frequentemente" la shell cloud:
È importante notare che la prima volta che viene eseguita un'azione che richiede l'autenticazione, compare una finestra di autorizzazione a comparsa nel browser dell'utente. Questa finestra deve essere accettata prima che il comando possa essere eseguito. Se compare una finestra di pop-up inaspettata, potrebbe destare sospetti e compromettere potenzialmente il metodo di persistenza in uso.
Questa è la finestra di pop-up generata dall'esecuzione di gcloud projects list
dalla shell cloud (come attaccante) visualizzata nella sessione dell'utente del browser:
Tuttavia, se l'utente ha utilizzato attivamente la cloudshell, il pop-up non comparirà e è possibile raccogliere i token dell'utente con:
Come viene stabilita la connessione SSH
Fondamentalmente, vengono utilizzate queste 3 chiamate API:
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey [POST] (ti farà aggiungere la tua chiave pubblica creata localmente)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start [POST] (ti farà avviare l'istanza)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default [GET] (ti dirà l'indirizzo IP del cloud shell di Google)
Ma puoi trovare ulteriori informazioni in https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key
Riferimenti
Last updated