根據資安研究人員指出,Google Apps Script 有某個資安漏洞可能讓駭客和網路犯罪集團經由 Google Drive 散布惡意程式。由於這項漏洞是發生在軟體服務 (Software-as-a-Service,簡稱 SaaS) 平台端,因此攻擊行動不易偵測,且攻擊時不需假使用者之手,因此使用者可能不會察覺。
Google Apps Script 是一個 JavaScript 開發平台,可讓程式設計人員開發網站應用程式以及 Google 軟體服務平台 (如 Google Docs、Sheets、Slides、Forms、Calendar 和 Gmail) 的延伸功能。
該漏洞跟 Google Apps 的分享與自動下載功能有關
根據研究人員指出,這項漏洞跟 Google Apps 的分享與自動下載功能有關。其攻擊手法與傳統利用 Google Drive 來存放和散布惡意程式的方式迥異。
在此手法當中,駭客先發送一份 Google Doc 文件給目標使用者來當成社交工程誘餌。當該文件被開啟時,會要求使用者執行一個 Google Apps Script 腳本,接著此腳本會從 Google Drive 下載惡意程式。此一方式跟一般 Office 文件內嵌的巨集惡意程式有異曲同工之妙。
[TrendLabs 資訊安全情報部落格:qkG 檔案加密病毒:可自我複製的文件加密勒索病毒]
這項研究發現,突顯出越來越多企業採用的 SasS平台所潛藏的資安風險。事實上,軟體服務 (SaaS) 與基礎架構服務 (Infrastructure-as-a-Service,簡稱IaaS) 是 2017 年公有雲服務成長的兩大動力,總營收達到 586 億美元。只要建置得當,SaaS 可提供企業彈性、客製化、可擴充的解決方案,實現企業流程及營運最佳化。
SaaS 開始普及,引來網路犯罪集團的覬覦
然而,就如同許多剛起步的技術和企業所採用的替代平台一樣,當 SaaS 開始普及之後,很可能就會引來網路犯罪集團的覬覦。而這也印證了今日威脅情勢的發展趨勢:藉由合法服務來掩護非法。有鑑於此,安裝一套多層式防禦來完整涵蓋閘道、端點、網路及伺服器就顯得相當重要,唯有如此才能縮小企業的打擊面。除此之外,培養員工的網路資安意識也很重要。
研究人員目前已將發現結果通報給 Google,而 Google 也已針對 Google Apps Script 設置了對應的防範措施,包括避免 installable 和 simple 兩種觸發機制 (triggers) 執行,這些機制是用來讓一些客製化或固定功能在某事件 (如開啟檔案) 時自動執行。
趨勢科技解決方案
趨勢科技 Hybrid Cloud Security 提供了跨世代融合的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載而最佳化,包含 Google 雲端平台在內。其內含的 趨勢科技Deep Security可及時防範惡意程式入侵,藉由惡意程式防護、行為監控、預測式機器學習、網站信譽平等以及沙盒模擬分析來保障伺服器和應用程式的安全。趨勢科技 Cloud App Security (CAS) 可強化 Office 365 應用程式及其他雲端服務 (如 Google Drive) 的安全,利用頂尖的沙盒模擬惡意程式分析來偵測勒索病毒和其他進階威脅。
趨勢科技 Hybrid Cloud Security 採用 XGen安全防護為基礎,能完整防範各式各樣的威脅,保護資料中心、雲端環境、網路及端點。XGen™ 能防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或將資料加密。
原文出處:Security Flaw in Google Apps Script can Let Hackers Deliver Malware via SaaS Platform