NanoRemote 惡意軟體濫用 Google Drive API 的資安威脅分析

發現與來源

Elastic Security Labs 於 2025 年 10 月透過 Windows 端點遙測資料，首次發現名為 NanoRemote 的後門。該樣本與已知的 REF7707/FINALDRAFT 族群相似，但最顯著的差異在於將 Google Drive API 作為主要的 C2 通道，直接以 RESTful 介面進行指令遞送與資料外傳 (iThome, Dreamjtech)。

技術機制解析

• 交付與執行：攻擊者先以偽裝成 Bitdefender 防毒元件 BDReinit.exe 的 WMLoader 進行初始植入。Loader 內含 16 位元 ASCII 金鑰，使用 AES‑CBC 解密內嵌的 NanoRemote，並於記憶體中即時執行。Loader 同時偽裝成 Trend Micro 檔案，以躲避一般 AV 召回 (iThome)。
• OAuth 2.0 Token 管理：NanoRemote 會在第一次執行時觸發 OAuth 2.0 授權流程，取得「Access Token」與「Refresh Token」。透過程式內建的 Google.Apis.Auth.OAuth2 套件，持續自動續期，確保長期存取權杖不被撤銷，並降低使用者再次授權的機率 (Dreamjtech)。
• 資料外傳與載荷部署：利用 Drive 的 files.create 與 files.update API，惡意程式能將機密檔案、鍵盤記錄、螢幕截圖等以加密後的檔案形式上傳；相對地，攻擊者亦可將指令或更新程式上傳至雲端，後端由 NanoRemote 下載執行，完成「雲端載荷部署」(The Hacker News)。
• 任務管理系統：後門內建排程隊列，可設定下載/上傳任務、暫停、取消、重新啟動，並可在多個任務間切換。此機制提高了隱蔽性，並減少單一 API 呼叫被封鎖的風險 (CyberSRC)。
• 加密與壓縮：所有傳輸內容均以 Zlib 壓縮後，再以 AES‑CBC 加密，最後以 JSON 包裝成 HTTP POST，模仿正常 Cloud 服務流量，難以被傳統 IDS 檢測 (Elastic Security Labs)。

偵測與防禦建議

• 監控 Google Drive REST API 呼叫：在防火牆或 EDR 中加入規則，捕捉 https://www.googleapis.com/upload/drive/v3/files、https://www.googleapis.com/drive/v3/files 等端點，並對異常頻率或未知使用者帳戶做警示。
• 識別可疑執行檔：針對 BDReinit.exe、WMLoader 等檔名結構建立白名單/黑名單；使用數位簽章驗證，並比對 SHA‑256 指紋。
• 追蹤 OAuth 2.0 Token 活動：在身份認證伺服器或雲端管理平台監控 Refresh Token 續期事件；若發現持續大量續期請求，應即時檢查相關端點。
• 加強端點檢測：利用 Windows Defender ATP 或 CrowdStrike 等 EDR，監控 AES‑CBC 加密、Zlib 壓縮的輸出流；並設定異常檔案傳輸閾值。
• 網路分段與流量隔離：將企業內部網路與外部雲服務隔離，使用代理或 VPN 封鎖未授權的 Google Drive API 連線。
• 員工教育：強化使用者對「授權雲端存取」的安全意識，避免在未經審核的狀況下授權第三方應用。

MITRE ATT&CK 對應

• T1071.001 – Web Protocols (HTTP/HTTPS) – 透過 Google Drive REST API 進行 C2 通訊
• T1105 – Ingress Tool Transfer – 利用 Google Drive 下載惡意載荷
• T1059.003 – Windows Command Shell – 執行內嵌指令
• T1082 – System Information Discovery – 系統資訊蒐集
• T1049 – System Network Connections Discovery – 網路連線偵測
• T1059.001 – PowerShell – 若使用者帳戶授權，可能透過 PowerShell 進行自動化
• T1041 – Exfiltration Over Command and Control Channel – 資料外傳至雲端

參考資料與原文來源

• iThome – “12月12日，惡意軟體 NanoRemote 濫用 Google Drive 的 API 隱匿行蹤” (2025‑12‑12)
• Dreamjtech – “利用 Google Drive API 實現 Windows 系統隱蔽控制” (2025‑12‑11)
• The Hacker News – “NANOREMOTE Malware Uses Google Drive API for Hidden Control” (2025‑12‑10)
• CyberSRC – “NanoRemote: Advanced Windows Backdoor Leveraging Google Drive API for Stealthy C2” (2025‑12‑11)
• Elastic Security Labs – “NANOREMOTE, cousin of FINALDRAFT” (2025‑12‑05)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。