如何清除谷歌数据并重新开始——第一部分

Mike Felch//

蓝队摧毁红队的故事

让我先分享一个最近针对高安全技术客户的红队演练故事，结果对我并不顺利。他们的安全运营中心（SOC）装备精良，拥有复杂的内部异常检测工具、惊人的组织可见性以及顽强的事件响应团队。作为谷歌客户，他们利用G Suite处理基于云的商业应用，这立即让我兴奋起来。我花了大量时间研究如何武器化谷歌产品以针对组织，因此我立即准备了几种不同的攻击路径思路并开始行动。

在我和团队成功通过CredSniper获取凭证并绕过双因素认证后，我们立即开始横向渗透谷歌应用，寻找典型的公司数据。这时我们首次了解到异常检测系统，因为他们利用Google Groups向技术团队发送分发邮件，其中包含有趣的安全警报和存档中的crontab命令行日志。不用说，他们大量投资于谷歌技术，这就是这个故事的重要性所在。不久后，客户在谷歌的帮助下将我们的认证活动识别为可疑。无论是因为从未见过的设备、完全不同的位置，还是启发式组合——它触发了一系列内部流程，最终导致与员工验证和全面事件响应。我们最终攻陷了其他几个账户，但即使有复杂的系统和高度警觉的事件响应团队，他们也无法进入我们的OODA循环。事实证明，谷歌管理API并非实时，日志延迟了15分钟（我听说谷歌已优先修复），这给了我们足够的时间肆意行动。演练结束后，客户告诉我们他们联系了谷歌SOC寻求帮助（显然他们是谷歌大客户），在24小时内协同跟踪、清除和销毁了我们的工作。我想花点时间指出，客户和谷歌之间的检测和协调非常精准。然而，有时事情可能有点过头。正如你将看到的。

协作的力量

你可能在问自己为什么这个背景故事相关。在那24小时内，谷歌SOC能够跟踪并关联我所有的临时账户、手机和API令牌，然后暂停账户。这包括个人和工作账户。更糟糕的是，他们还进一步将入侵指标与我的工作账户关联，以违反服务条款为由暂停它。我们的系统管理员第二天重新启用它，他们再次暂停并同时暂停了系统管理员重新启用的能力。他们错了吗？可能没有。我会做同样的事吗？很可能。相信我，谷歌跟踪和关联账户的能力非常、非常好。在接下来的几天里，我意识到了损害的程度。我错过了客户的邮件，谷歌弹回了邮件，我无法访问任何以谷歌账户为认证身份的资源，我的工作日历无法访问导致我不知道每日议程，我甚至无法在 downtime 观看我的YouTube积压内容！（笑）

如果 fallout 发生在组织账户级别，那么整个业务可能突然停止。最终，我们能够与客户和谷歌合作解决误解和所谓的服务条款违规，但在此之前我学到了宝贵的一课。在接下来的几周里，我和妻子持续遇到认证问题，所有设备上的谷歌账户会话随机需要重新认证。笔记本电脑、电视、恒温器、平板电脑等等。可能只是时间巧合，但现实令人不安。我们的家庭IP地址在谷歌系统中被标记为恶意了吗？

引起关注

技术巨头通过 flip of a switch 和其员工自由裁量权主导我工作生活的方方面面，如果被滥用，可能在我们行业产生长期影响。我从客户那里非正式获悉，谷歌SOC向他们提供了Beau Bullock和我的日历事件注入研究链接，这是初始访问向量。这解释了谷歌SOC中分类的人员知道该技术，Black Hills Information Security是一家渗透测试公司，我是公司的测试员，并且该技术的起源是我。虽然客户授权BHIS将第三方账户纳入范围，但谷歌似乎没有透明的渗透测试批准流程来通知他们活动，但他们在安全与合规页面的渗透测试部分提供了总体批准。

那么谷歌是否有足够的信息来限制对我账户的影响？即使有，他们能否以更好的方式管理这个困境？我是否真的违反了服务条款？毕竟，在恢复我的账户之前，他们确实同意没有违反TOS，但这需要所有受影响方之间大量的来回沟通。谷歌对渗透测试的要求中仅有的两个规定是遵守可接受使用政策和不违反其谷歌云服务条款。显然，在任何地方违反任何规定都可能导致 everywhere everything 被禁止。

这种模糊性只是每个测试员需要意识到的一件事，并希望在不久的将来得到解决。事实上，这是所有测试员在测试任何云服务时都需要意识到的问题。在云测试方面，我们处于未知领域。许多供应商有政策规定我们永远不要测试其核心服务。其他供应商则更容易合作。我们正在使用这个系列作为对其他测试员和公司的警示故事。

引发问题

随着 de-platforming、服务条款违规和模糊解释的兴起，这对违反更不明确服务条款的个人账户的未来可能意味着什么？我不想等待答案。查看第二部分，我通过从个人生活、家庭和所有设备中清除谷歌，系统地 de-platform 自己。这段旅程是一项巨大的任务，需要广泛的研究和规划，以避免许多可能导致重大头痛的微妙问题。

如何清除谷歌数据并重新开始——第二部分