随着云计算和自动化工具在现代企业中的普及,谷歌Workspace的App Script成为诸多用户实现办公自动化的重要利器。App Script凭借其基于JavaScript的灵活编程接口和与谷歌多种服务的无缝集成,极大地方便了业务流程定制和自动化管理。然而,这一强大功能背后也隐藏着不为人知的安全风险,尤其是在攻击者伪装谷歌App Script项目以实现隐秘持久化方面,正引发业界高度关注。 谷歌App Script项目的本质是一种基于谷歌云平台(Google Cloud Platform, GCP)的项目载体。当企业用户通过App Script创建自动化脚本时,谷歌实际上会在其GCP组织架构中生成一个对应的GCP项目。该项目具备和普通GCP项目类似的属性和权限设置,但其项目ID通常有固定格式,如sys-后接26位随机数字。
由于这类项目默认在控制台中的可见性较低,甚至部分项目隐藏于特定的资源文件夹中,攻击者能够利用此特性伪装App Script项目,进行隐蔽部署和攻击。 攻击者通过模仿真实App Script项目的命名规则,创建伪造的看似合法的项目,进而在目标组织的云环境中加载恶意资源,例如大规模的计算实例用于加密货币挖矿,或者通过创建高权限的服务账户实现持久的权限维持。这种隐蔽方式既规避了传统安全检测,也使得排查异常项目的工作更加复杂。伪装项目通常不会在常规控制台显示,只有拥有特定权限的用户通过命令行工具(如gcloud)查询时才会被发现,从而大大增加了攻击的隐蔽性和持久性。 谷歌App Script项目的默认权限非常特殊,除谷歌官方控制的服务账户外,其他身份默认无权访问。这一设计虽有助于隔离和管理,但同时攻击者若获取足够的权限,可修改项目的IAM策略为自身赋予访问和管理权限,进一步强化隐蔽持久化的效果。
利用受限环境中的项目,攻击者能够部署持久的服务账户,绑定高权限角色,创建并导出密钥,从而在未来随时回到目标环境,持续威胁企业安全。 针对这种新型攻击,传统的安全检测策略显然难以奏效,缺乏对App Script项目特征及其伪装行为的专门监控成为最大盲点。一种重要的检测方法是关注项目是否关联了计费账户。正常的App Script项目一般不需要绑定计费账户,而伪装项目若要运行收费的资源(例如计算实例),必然会与计费账户关联。通过监控命令行工具或API返回的项目信息,安全团队能够快速识别异常绑定计费的项目,锁定潜在威胁。 此外,针对项目启用的API服务种类也能作为检测依据。
真实的App Script项目通常启用的服务有限且符合自动化需求,而伪装项目可能会启用诸如计算引擎、身份管理等高权限API。通过对比项目启用的API服务清单,结合启停频率和异常调用行为,能够更精准地判断项目的合法性。 日志分析为攻击检测和取证提供了关键支持。真实App Script项目创建时的事件通常记录在apps-script文件夹下,且执行主体为谷歌自有的服务账户。伪装项目的创建者则多为具体用户邮箱,行为均可被日志捕捉。提高对日志内容和上下文的分析能力,对发现异常的App Script项目创建和修改事件至关重要。
为了遏制此类攻击,企业可以通过GCP组织策略设置,禁止创建匹配App Script项目ID格式的自定义项目。此策略能有效阻断攻击者直接利用该命名规范制造伪装项目,降低安全风险。不过需注意,此举同时会阻止合法的App Script项目创建,需结合组织实际使用需求谨慎实施。 市场上已有安全厂商推出专门面向云环境的检测产品,例如Exaforce提供基于多模型AI的高级异常检测和自动化调查,能够深入理解企业环境的行为基线,实时发现异常App Script项目使用和伪装企图。这类解决方案通过集成到企业安全运营体系,辅以策略执行与可视化响应,大幅提升云上持久化攻击的防御能力。 总结来看,谷歌App Script项目伪装作为攻击者隐秘持久化的新兴手段,利用了GCP管理中的权限盲区以及项目可见性的差异化,成功规避了传统安全防护措施。
面对该风险,企业必须提高对App Script项目架构和操作特性的认知,运用多维度数据源,包括计费信息、API启用情况和操作日志,构建有效的检测机制。同时,结合组织策略加固和专业安全产品部署,才能切实防范此类隐蔽攻击,保障数字化环境的安全稳定运行。未来随着云服务生态的持续发展和攻击技术的演进,加强对低代码平台及其背后云资源的安全管理,将成为安全运营的重点方向。 。
