NANOREMOTE惡意軟體：利用Google Drive API實現Windows系統隱蔽控制

發現背景

Elastic Security Labs於2025年10月在Windows端點的Telemetry中發現一種全新後門，命名為NANOREMOTE。此後門與已公開的REF7707及FINALDRAFT植入體相似，但其最顯著的特徵是利用Google Drive API作為主要的通訊通道，將資料從受害機器推送到雲端，或從雲端拉取指令與載荷 (iThome)。

主要功能與技術機制

Google Drive API作為Command & Control (C2) 渠道：NANOREMOTE使用Google Drive的RESTful介面，透過OAuth 2.0取得存取權杖後，直接將機密檔案上傳或下載至使用者的雲端資料夾，避免傳統C2伺服器被封鎖或偵測 (Elastic Security Labs)。
任務管理系統：後門內建排程與隊列機制，支援下載/上傳任務的排程、暫停、取消及重新啟動，並可在多個任務間切換，提升隱蔽性與可維護性 (Elastic Security Labs)。
Refresh Token 續期：為確保長期存取，NANOREMOTE能自動生成並續期Google Drive的Refresh Token，減少需要使用者再次授權的機率，並降低被偵測的風險 (Elastic Security Labs)。
資料存放與載荷部署：攻擊者可將惡意程式或指令作為檔案上傳至雲端，並在受害端點透過API下載，完成「雲端載荷部署」的過程 (Elastic Security Labs)。

與其他後門的相似性

NANOREMOTE在功能與結構上與FINALDRAFT相似，兩者皆為高階Windows後門，擁有遠端檔案管理、命令執行與持久化機制。然而，NANOREMOTE的獨特之處在於其將Google Drive作為主要通訊媒介，這在目前已知的後門樣本中較為罕見 (Elastic Security Labs)。

防禦建議

**監控Google Drive API呼叫**：在網路監控與EDR中加入對Google Drive REST API的特定呼叫（如 https://www.googleapis.com/upload/drive/v3/files）進行封包抓取與行為分析，偵測非授權或異常的檔案上傳/下載行為。
**封鎖非授權OAuth token**：利用企業的身份與存取管理（IAM）平台，設定僅允許授權應用程式使用OAuth 2.0存取金鑰；對於未知或可疑的Refresh Token，立即撤銷並啟動警報。
**加強雲端存取監控**：在Google Workspace管理控制台中啟用「安全審核日誌」，監控所有檔案操作與API呼叫，並配合Google Workspace Security Center進行異常行為偵測。
**使用EDR偵測異常檔案操作**：設定EDR策略，偵測Windows端點上傳或下載檔案至雲端的行為；若發現非預期檔案傳輸，立即進行隔離與進一步調查。
**定期審核與更新防火牆規則**：確保企業網路與雲端連接僅允許必要的API與IP範圍，並定期檢查是否有新出現的非授權連線。