GCP - Stackdriver Enum

Logowanie Stackdriver

Stackdriver jest uznawany za kompleksowy pakiet logowania infrastruktury oferowany przez Google. Ma zdolność do przechwytywania wrażliwych danych za pomocą funkcji takich jak syslog, który raportuje poszczególne polecenia wykonane wewnątrz instancji obliczeniowych. Ponadto monitoruje żądania HTTP wysyłane do równoważników obciążenia lub aplikacji App Engine, metadane pakietów sieciowych w komunikacji VPC i wiele innych.

Dla instancji obliczeniowej odpowiednie konto usługi wymaga jedynie uprawnień WRITE do ułatwienia logowania działań instancji. Niemniej jednak możliwe jest, że administrator może nieumyślnie nadać kontu usługi zarówno uprawnienia READ, jak i WRITE. W takich przypadkach dzienniki mogą być analizowane pod kątem wrażliwych informacji.

Aby to osiągnąć, narzędzie gcloud logging oferuje zestaw narzędzi. Zaleca się początkowo zidentyfikowanie rodzajów dzienników obecnych w bieżącym projekcie.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Odnośniki

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/