GCP - Stackdriver Enum

Stackdriver logging

Stackdriver은 Google이 제공하는 포괄적인 인프라 로그 수집 스위트로 인정받고 있습니다. syslog와 같은 기능을 통해 민감한 데이터를 캡처할 수 있으며, Compute Instances 내에서 실행된 개별 명령을 보고하는 기능을 갖추고 있습니다. 또한 로드 밸런서 또는 앱 엔진 애플리케이션으로 전송된 HTTP 요청, VPC 통신 내에서의 네트워크 패킷 메타데이터 등을 모니터링합니다.

Compute Instance의 경우, 해당 서비스 계정은 인스턴스 활동 로깅을 용이하게 하기 위해 단순히 쓰기 권한만 필요로 합니다. 그러나 관리자가 서비스 계정에 읽기 및 쓰기 권한을 모두 부여할 수도 있습니다. 이러한 경우 로그를 분석하여 민감한 정보를 확인할 수 있습니다.

이를 수행하기 위해 gcloud logging 유틸리티는 일련의 도구를 제공합니다. 먼저 현재 프로젝트에 있는 로그 유형을 식별하는 것이 권장됩니다.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

참고 자료

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/