如何清除Google数据并重新开始 - 第1部分:技术巨头的追踪与账户封禁

本文通过一次真实的红队对抗案例,揭示了Google SOC强大的账户追踪与关联能力,探讨了云服务渗透测试中的技术挑战与账户封禁风险,为安全测试人员提供了宝贵的经验教训。

如何清除Google数据并重新开始 - 第1部分

Mike Felch//

蓝队摧毁红队的故事

让我从一个最近的红队对抗案例开始说起,这次对抗的目标是一个安全防护严密的技术客户,但结果对我并不利。他们的SOC配备了精密的内部异常检测工具,拥有对整个组织的惊人可见性,以及一支顽强的事件响应团队。作为Google客户,他们利用G Suite处理基于云的商业应用,这立即让我兴奋起来。我花了大量时间研究如何将Google产品武器化以针对组织,因此我立即准备了几种不同的攻击路径思路,并开始了行动。

在我和我的团队成功通过CredSniper获取凭证并绕过双因素认证后,我们立即开始在Google应用中进行横向移动,寻找典型的公司数据。这时我们第一次了解到异常检测系统,因为他们利用Google群组向技术团队发送分发邮件,其中包含有趣的安全警报和存档中的crontab命令行日志。不用说,他们在Google技术上投入了大量资源,这也是这个故事的重要性所在。不久后,客户在Google的帮助下将我们的认证活动识别为可疑。无论是由于从未见过的设备、完全不同的地理位置,还是启发式算法的组合,这触发了一系列内部流程,最终导致与员工验证并引发全面事件。我们最终又攻陷了几个其他账户,但即使有复杂的系统和高度警觉的事件响应团队,他们也无法进入我们的OODA循环。事实证明,Google管理API并非实时,日志延迟了15分钟(我听说Google已优先修复),这给了我们足够的时间来肆意行动。对抗结束后,客户告诉我们他们联系了Google的SOC寻求帮助(显然他们是Google的大客户),在24小时内,他们协同跟踪、清除并摧毁了我们的工作。我想花点时间指出,客户和Google之间的检测和协调非常精准。然而,有时事情可能会有点过头。正如你将看到的。

协作的力量

你可能会问自己为什么这个背景故事相关。在那24小时内,Google SOC能够跟踪并关联我所有的临时账户、手机和API令牌,然后暂停这些账户。这包括个人和工作账户。更糟糕的是,他们还进一步将入侵指标与我的工作账户关联,以违反服务条款为由暂停了它。我们的系统管理员第二天重新启用了它,但他们再次暂停了它,同时暂停了系统管理员重新启用它的能力。他们错了吗?可能没有。我会做同样的事吗?很可能。相信我,Google跟踪和关联账户的能力非常非常强。在接下来的几天里,我意识到了损害的严重程度。我错过了客户的电子邮件,因为Google退回了它们;我无法访问任何以Google账户作为认证身份的资源;我的工作日历无法访问,让我不知道每日议程;我甚至无法在空闲时间观看我的YouTube积压内容!(笑)

如果这种影响发生在组织账户级别,那么整个业务可能会突然停止。最终,我们能够与客户和Google合作解决误解和所谓的服务条款违规问题,但在此之前我学到了宝贵的一课。在接下来的几周里,我和我的妻子持续遇到认证问题,所有设备上的Google账户会话会随机要求重新认证。笔记本电脑、电视、恒温器、平板电脑等等。这可能只是一个时间上的巧合,但现实令人不安。我们的家庭IP地址是否在Google系统中被标记为恶意?

引起关注

技术巨头有能力通过一键切换和其员工的自由裁量权主导我工作生活的方方面面,如果被滥用,可能会在我们的行业产生长期影响。我从客户那里非正式地获悉,Google SOC向他们提供了指向Beau Bullock和我的日历事件注入研究的链接,这是初始访问向量。这说明Google SOC中处理事件的人知道该技术,知道Black Hills Information Security是一家渗透测试公司,知道我是该公司的测试人员,并且该技术的起源是我。虽然客户授权BHIS将第三方账户纳入范围,但Google似乎没有一个透明的渗透测试批准流程来通知他们活动,但他们在安全和合规页面的渗透测试部分提供了总体批准。

那么Google是否有足够的信息来限制对我账户的影响?即使有,他们能否以更好的方式处理这个困境?我是否真的违反了服务条款?毕竟,在恢复我的账户之前,他们确实同意没有违反TOS,但这需要所有受影响方之间的大量来回沟通。Google对渗透测试的要求中仅有的两个规定是遵守可接受使用政策和不违反其Google云服务条款。显然,在任何地方违反任何规定都可能导致所有地方的一切被禁止。

这种模糊性是每个测试人员都需要意识到的一件事,并希望在不久的将来得到解决。事实上,这是所有测试人员在测试任何基于云的服务时都需要意识到的问题。在云测试方面,我们处于未知领域。许多供应商有政策规定我们永远不要测试他们的核心服务。其他供应商则更容易合作。我们正在使用这个系列作为对其他测试人员和公司的警示故事。

引发问题

随着去平台化、服务条款违规和模糊解释的兴起,这对于违反更不明确服务条款的个人账户的未来可能意味着什么?我不想等待答案。查看第2部分,我将通过从个人生活、家庭和所有设备中清除Google,系统地自我去平台化。这段旅程是一项巨大的任务,需要广泛的研究和规划,以避免许多可能导致重大头痛的微妙问题。

如何清除Google并重新开始 - 第2部分

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次