GCP 到 Google Workspace 穿越攻击方法论

GCP 与 Google Workspace 同属 Google Cloud 生态，二者通过 IAM 和 OAuth 深度绑定。当攻击者拿到 GCP Service Account 或 Project 权限后，若目标组织同时使用 Google Workspace（原 G Suite），就可能从云基础设施穿越到企业办公系统——直接访问全员邮件、文件、日历、通讯录乃至管理控制台。

为什么这个穿越如此致命：

• 影响面极大：一个配置了 Domain-Wide Delegation（DWD）的 Service Account 可冒充组织内任意用户
• 权限升级无感知：DWD 滥用不需要目标用户交互或确认，被冒充的用户完全无感
• 数据价值极高：企业邮件（Gmail）、共享文件（Drive）、会议日程（Calendar）、组织架构（Admin Directory）全部可被访问
• 攻击路径隐蔽：通过 Service Account 生成的 OAuth Token 访问 Workspace API，不同于用户直接登录，很多组织缺少对此类访问的监控

深入参考

识别到具体 Workspace 后渗透场景后，加载参考文档获取完整技术细节：

• Workspace 各服务后渗透操作（Gmail/Drive/Calendar/Admin Directory/Chat）与持久化技术 → 读 references/workspace-post-exploit.md

核心概念：Domain-Wide Delegation（DWD）