Stackdriver logging

Stackdriver jest uznawany za kompleksowy zestaw narzędzi do rejestrowania infrastruktury oferowany przez Google. Ma zdolność do przechwytywania danych poufnych za pomocą funkcji takich jak syslog, który raportuje poszczególne polecenia wykonane wewnątrz instancji obliczeniowej. Ponadto monitoruje żądania HTTP wysyłane do równoważników obciążenia lub aplikacji App Engine, metadane pakietów sieciowych w ramach komunikacji VPC i wiele więcej.

Dla instancji obliczeniowej odpowiednie konto usługi wymaga jedynie uprawnień WRITE, aby umożliwić rejestrowanie działań instancji. Niemniej jednak, możliwe jest, że administrator może nieumyślnie nadać temu kontu usługi zarówno uprawnienia READ, jak i WRITE. W takich przypadkach logi mogą być analizowane pod kątem poufnych informacji.

Aby to osiągnąć, narzędzie gcloud logging oferuje zestaw narzędzi. W pierwszej kolejności zaleca się zidentyfikowanie rodzajów logów obecnych w bieżącym projekcie.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Odwołania

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/