如何彻底清除谷歌并重新开始 – 第1部分
Mike Felch
蓝队摧毁红队的故事
让我从一个近期针对高安全技术客户的红色团队演练开始讲起,这次演练对我来说结果并不理想。客户的安全运营中心(SOC)配备了精密的内部异常检测工具,拥有对整个组织的惊人可见性,以及一支顽强的事件响应团队。他们是一家谷歌客户,利用G Suite处理基于云的商业应用程序,这立即让我兴奋起来。我花了大量时间研究如何将谷歌产品武器化以针对组织,因此我立即准备了几种不同的攻击路径思路,并开始了行动。
在我和我的团队成功通过CredSniper获取凭据并绕过双因素认证后,我们立即开始横向移动,通过谷歌应用程序寻找典型的公司数据。这时我们首次了解到异常检测系统,因为他们利用谷歌群组向技术团队发送分发邮件,其中包含有趣的安全警报和存档中的crontab命令行日志。不用说,他们大量投资于谷歌技术,这也是为什么这个故事很重要。不久之后,客户在谷歌的帮助下将我们的认证活动识别为可疑行为。无论是因为从未见过的设备、与其他所有位置完全不同的位置,还是因为启发式规则的组合——它触发了一系列内部流程,最终导致与员工验证并引发全面事件。我们最终攻陷了其他几个账户,但即使有复杂的系统和高度警觉的事件响应团队,他们也无法进入我们的OODA循环。事实证明,谷歌管理API并非实时,日志延迟了15分钟(我听说谷歌已优先修复此问题),这给了我们足够的时间肆意行动。演练结束后,客户告诉我们,他们联系了谷歌SOC寻求帮助(显然他们是谷歌的大客户),在24小时内,他们协同跟踪、清除并摧毁了我们的工作。我想花点时间指出,客户和谷歌之间的检测和协调是精准的。然而,有时事情可能会有点过头。正如你将看到的。
协作的力量
你可能会问自己,为什么这个背景故事相关。在那24小时内,谷歌SOC能够跟踪并关联我所有的临时账户、手机和API令牌,然后暂停这些账户。这包括个人和工作账户。更糟糕的是,他们还进一步将入侵指标与我的工作账户关联,以违反服务条款为由暂停了它。我们的系统管理员第二天重新启用了它,但他们再次暂停了它,同时暂停了系统管理员重新启用它的能力。他们错了吗?可能没有。我会做同样的事吗?很可能。相信我,谷歌跟踪和关联账户的能力非常、非常强大。在接下来的几天里,我意识到了损害的程度。我错过了客户的邮件,因为谷歌将其退回,我无法访问任何以谷歌账户为认证身份的资源,我的工作日历无法访问,导致我不知道每日议程,我甚至无法在 downtime 观看我的YouTube积压内容!(笑)
如果这种影响发生在组织账户级别,那么整个业务可能会戛然而止。最终,我们能够与客户和谷歌合作,解决了误解和所谓的服务条款违规问题,但在此之前我学到了宝贵的一课。在接下来的几周里,我和我妻子持续遇到认证问题,所有设备上的谷歌账户会话会随机要求重新认证。笔记本电脑、电视、恒温器、平板电脑等等。这可能只是时间上的巧合,但现实令人不安。我们的家庭IP地址是否在谷歌系统中被标记为恶意?
引发担忧
技术巨头能够通过轻按开关并在其员工自由裁量权下主导我工作生活的方方面面,如果被滥用,可能会在我们行业产生长期影响。我从客户那里非正式地获得信息,谷歌SOC向他们提供了Beau Bullock和我关于日历事件注入研究的链接,这是初始访问向量。这表明谷歌SOC内的分类人员知道该技术,知道Black Hills Information Security是一家渗透测试公司,知道我是该公司的测试人员,并且该技术的起源是我。虽然客户授权BHIS将第三方账户纳入范围,但谷歌似乎没有透明的渗透测试批准流程来通知他们活动,但他们在安全与合规页面的渗透测试部分提供了总体批准。
那么,谷歌是否有足够的信息来限制对我账户的影响?即使他们有,他们是否能以更好的方式处理这一困境?我是否真的违反了服务条款?毕竟,在恢复我的账户之前,他们确实同意没有违反TOS,但这需要所有受影响方之间的大量来回沟通。谷歌对渗透测试的要求中仅有的两个规定是遵守可接受使用政策和不违反其谷歌云服务条款。显然,在任何地方违反任何规定都可能导致所有地方的一切被禁止。
这种模糊性只是每个测试人员需要意识到的一件事,并希望在不久的将来得到解决。事实上,这是所有测试人员在测试任何基于云的服务时都需要意识到的问题。在云测试方面,我们处于未知领域。许多供应商有政策规定我们永远不要测试他们的核心服务。其他供应商则更容易合作。我们正在用这个系列作为对其他测试人员和公司的警示故事。
引发问题
随着去平台化、服务条款违规和模糊解释的兴起,这对违反更不明确服务条款的个人账户的未来可能意味着什么?我不想等待答案。查看第2部分,我将通过从个人生活、家庭和所有设备中彻底清除谷歌,系统地自我去平台化。这段旅程是一项巨大的任务,需要广泛的研究和规划,以避免许多可能导致重大头痛的微妙问题。
如何彻底清除谷歌并重新开始 – 第2部分