使用 Cloud Shell 在 Google Cloud Platform (GCP) 中权限维持

39666

IBM Security X-Force Red 深入研究了 Google Cloud Platform (GCP)，并发现了攻击者可以用来通过 Google Cloud Shell 持久保存在 GCP 中的一种潜在方法。

Google Cloud Shell 是一项提供基于 Web 的 shell 的服务，可以在其中执行 GCP 管理活动。基于 Web 的 shell 是一个不错的功能，因为它允许开发人员和管理员管理 GCP 资源，而无需在系统本地安装或保留任何软件。从技术角度来看，Google 指出 Cloud Shell 是一个短暂的 Debian Linux 虚拟机 (VM)。用户在使用 Cloud Shell 时与之交互的实际上是一个 Docker 容器。要使用 Cloud Shell，您只需登录 Google Cloud 控制台并单击终端图标，即可启动 Cloud Shell 实例，如下所示。

读了上面，可能看到了“短暂”这个词，并想知道如何在短暂的环境中坚持下去。由 Google Cloud Shell 构建的容器是短暂的，但你的主目录 (/home) 可以容纳多达 5GB 的数据并且是持久的。

之前的研究显示了如何使用 .bashrc 文件在 Cloud Shell 中持久化。那是在 Juan Berner 在 2018 年发表的这篇Medium 帖子中。通过 .bashrc 文件持久化是一种持久化方法，但还有另一种选择。

在研究过程中，我们发现 Google Cloud Shell 在启动时具有独特的功能，可以读取主文件夹中名为 .customize_environment 的文件。默认情况下不会创建此文件，但一旦添加，它将在每次启动 Cloud Shell 时运行。

从管理的角度来看，这很方便。如果管理员经常使用一些工具，但默认情况下没有安装，他们可以在.customize_environment文件中编写一个脚本，以安装任何需要的软件，改变系统的配置等等。

然而，如果你是一个黑客，这个功能可能会因为其他原因引起你的注意。

攻击者、渗透测试人员和红队在最初侵入一个环境后通常有一个类似的目标。这个目标是留在被破坏的网络内，这意味着他们需要至少有一种方法来维持他们的访问。在网络安全领域，我们把这称为权限维持。

.customize_environment文件是在获得对GCP的初始访问后的一个可靠的权限维持选择。这种方法有很大的能力。可以下载一个命令和控制植入物，并在每次启动Cloud Shell时运行，或者运行一个脚本，窃取令牌并将其发布到攻击者的服务器上，等等。在测试过程中，Cloud Shell的出站过滤似乎极为有限。下面我们检查了我们可以向外连接的开放TCP端口，没有一个被阻止。

对外开放访问意味着可以使用反向的shell。在下面的例子中，我们保持简单，在.customize_environment文件中使用以下代码运行一个Netcat反向shell。这为我们提供了对被破坏的Cloud Shell的远程访问。

下次启动Cloud Shell时，我们会得到一个反向shell。

你可以在进程列表中看到.customize_environment在启动时与Bash一起被自动调用，并且仍在运行反向shell。

然而，这种权限维持方法也有缺点。为了使其有效，受害者必须使用Cloud Shell。如果他们是一个不经常使用的用户或不使用Cloud Shell，这将不是一个可靠或有效的权限维持方法。

另一个缺点是，在Cloud Shell中第一次执行需要认证的操作时，会在用户的浏览器中弹出一个授权窗口，在命令运行前必须接受。如果出现一个意外的弹出窗口，目标可能会起疑心，并摧毁权限维持方法。

一个限制检测的变通方法是监控用户的活动，等到他们进行了API调用后再尝试执行需要认证的活动。最后，如果用户不经常使用Cloud Shell，主目录将在120天的非活动后被删除。

使用Curl试图访问Metadata服务器的命令弹出的授权信息

这种持久化方法的一个关键优势是，检测或阻止它的能力非常有限。谷歌目前没有提供适用于Cloud Shell的日志、防火墙规则或等。

有效阻止这种权限维持方法的唯一方法是为所有用户禁用Cloud Shell。下面是谷歌管理员用户可以用来禁用Cloud Shell的分步说明。

登录谷歌管理控制台：https://admin.google.com/
在左边的菜单栏上选择附加的谷歌服务。

3、从屏幕中间的菜单中选择谷歌云平台。

点击Cloud Shell设置，打开Cloud Shell选项菜单。

5、取消勾选允许访问Cloud Shell的方框。

6、最后，点击SAVE按钮，保存配置。

现在，该组织的Google Cloud Shell已被禁用。

最后，使用.customize_environment文件进行持久化是一种方法，在合适的条件下是一种可靠的持久化选择，但检测能力有限。

本文为译文，原文地址：https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/