Stackdriver logging

Stackdriver è riconosciuto come una suite completa di registrazione dell'infrastruttura offerta da Google. Ha la capacità di catturare dati sensibili attraverso funzionalità come syslog, che segnala i singoli comandi eseguiti all'interno delle istanze di calcolo. Inoltre, monitora le richieste HTTP inviate ai bilanciatori di carico o alle applicazioni di App Engine, i metadati dei pacchetti di rete all'interno delle comunicazioni VPC e altro ancora.

Per un'istanza di calcolo, l'account di servizio corrispondente richiede solo le autorizzazioni di SCRITTURA per facilitare la registrazione delle attività dell'istanza. Tuttavia, è possibile che un amministratore possa inavvertitamente fornire all'account di servizio sia le autorizzazioni di LETTURA che di SCRITTURA. In tali casi, i registri possono essere esaminati per individuare informazioni sensibili.

Per fare ciò, l'utilità gcloud logging offre un insieme di strumenti. Inizialmente, è consigliabile identificare i tipi di registri presenti nel tuo progetto corrente.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Riferimenti

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/