Kali365 设备代码钓鱼攻击机理、危害及防御体系研究

摘要

2026 年 5 月 FBI 发布预警，新型钓鱼即服务平台 Kali365 通过滥用 Microsoft 365 OAuth 2.0 设备代码授权流程，可在不窃取密码、不伪造登录页面的前提下绕过多因素认证，获取长期有效访问令牌，实现账户持久化控制。该平台依托 Telegram 渠道分发，以订阅制降低攻击门槛，配合 AI 钓鱼诱饵、自动化模板与实时监控面板，使低技能攻击者可规模化实施精准攻击。本文以设备代码钓鱼核心链路为切入点，解析 Kali365 的技术架构、攻击流程与商业化运营模式，复现令牌劫持与权限获取过程并提供关键代码示例，从身份治理、策略管控、日志监测、用户教育四个维度构建闭环防御体系，为企业抵御 OAuth 授权滥用类钓鱼攻击提供可落地的技术方案与实践指引。反网络钓鱼技术专家芦笛指出，设备代码钓鱼的本质是合法授权流程被恶意劫持，传统反钓鱼机制已失效，必须以协议层管控与令牌生命周期管理为核心构建纵深防御。

关键词：Kali365；设备代码钓鱼；OAuth 2.0；Microsoft 365；多因素认证绕过；钓鱼即服务

1 引言

随着云办公普及，Microsoft 365 成为政企核心生产力平台，其身份认证体系安全直接关系数据资产与业务连续性。传统钓鱼以伪造登录页窃取密码与一次性验证码为主，在强密码策略与 MFA 普及下效果下降。攻击者转向滥用合法协议与接口，设备代码钓鱼成为绕过 MFA 的主流手段。

2026 年 4 月出现的 Kali365 平台，将设备代码钓鱼标准化、服务化、商业化，形成完整黑产链条。FBI 于 5 月 21 日发布 I-052126-PSA 公告，警示该平台可批量获取 OAuth 访问令牌与刷新令牌，实现无密码、无 MFA 持久访问，威胁远超传统钓鱼。

现有研究多聚焦传统钓鱼检测与用户意识，对 OAuth 授权滥用、令牌劫持类攻击覆盖不足，缺乏针对 Kali365 的全链路分析与可复现验证。本文基于 FBI 预警与安全厂商情报，系统拆解攻击机理，给出代码示例与防御部署方案，填补该领域研究缺口，为企业防护提供理论与实践支撑。

2 设备代码钓鱼与 Kali365 平台概述

2.1 设备代码授权流程（OAuth 2.0 Device Code Flow）

OAuth 2.0 设备代码流程（RFC 8628）面向无浏览器 / 输入能力的智能设备设计，核心是用户通过辅助设备完成授权，目标设备获取令牌访问资源。标准流程如下：

受限设备向授权服务器发起请求，获取设备码、用户码、验证 URL 与有效期；

设备显示用户码与验证 URL，引导用户在手机 / 电脑访问；

用户在官方页面登录、输入用户码并授权；

授权服务器校验通过，向设备返回访问令牌与刷新令牌；

设备持令牌调用 API，令牌过期用刷新令牌续期。

该流程全程在官方域名完成，无伪造页面，用户信任度高，成为攻击者突破口。

2.2 Kali365 平台的核心特征与商业化模式

Kali365 是 2026 年 4 月出现的专业化 PhaaS 平台，依托 Telegram 分发，采用订阅制：月付 250 美元、年付 2000 美元，降低攻击门槛。核心功能包括：

AI 生成多语言高仿真诱饵，适配邮件、短信、企业通知场景；

自动化攻击模板，支持批量投递与目标管理；

实时监控面板，可视化展示授权状态与令牌捕获；

令牌存储与共享，支持多攻击者复用，延长危害周期。

反网络钓鱼技术专家芦笛强调，Kali365 标志钓鱼攻击从单兵作案转向工业化交付，攻击成本下降、成功率上升，传统边界防护与意识培训已无法应对。

2.3 设备代码钓鱼与传统钓鱼的差异

表格

攻击维度 传统钓鱼 设备代码钓鱼（Kali365）

核心目标 密码 + MFA 验证码 OAuth 访问令牌 / 刷新令牌

页面真实性 伪造域名 / 仿冒页面 官方域名与合法流程

MFA 有效性 可绕过但易检测 完全绕过，用户完成授权

访问持久性 依赖密码有效性 长期有效，重置密码无效

检测难度 URL、页面特征可识别 无异常流量，日志隐蔽

技术门槛 需搭建钓鱼站点 依托平台，低技能可执行

差异表明，设备代码钓鱼是合法流程的恶意劫持，突破传统防御逻辑，威胁等级显著提升。

3 Kali365 攻击全链路与技术机理

3.1 攻击完整流程

诱饵投放：攻击者通过 Kali365 生成诱饵，冒充 IT、共享服务、法务等，要求用户访问官方验证页输入设备码；

恶意码生成：平台调用 Microsoft 身份中心接口，注册恶意客户端获取设备码与用户码，嵌入诱饵；

用户误授权：用户在官方页面登录、输入代码、完成 MFA，授权攻击者会话；

令牌劫持：Kali365 轮询获取访问令牌与刷新令牌，存入平台数据库；

持久化控制：攻击者持令牌访问邮件、Teams、OneDrive，窃取数据、创建规则、横向渗透。

整个过程无恶意代码、无伪造页面，安全设备难以告警。

3.2 核心技术原理：授权劫持与令牌窃取

攻击核心是用户为攻击者会话完成合法授权。攻击者获取的是绑定自身会话的令牌，而非用户凭证。即使用户改密，令牌仍有效，直至过期或吊销。

与传统 MFA 钓鱼不同，Kali365 不拦截验证码，而是让用户在官方流程中完成授权，系统判定为合法操作，MFA 完全失效。

3.3 攻击代码示例（基于 Microsoft 身份中心接口）

以下为设备码请求、轮询令牌、令牌调用的关键代码，仅用于防御研究。

3.3.1 获取设备代码

import requests

import json

def get_device_code():

url = "https://login.microsoftonline.com/common/oauth2/v2.0/devicecode"

payload = {

"client_id": "14e01c47-1234-5678-abcd-0123456789ab", # 恶意客户端ID

"scope": "https://graph.microsoft.com/.default offline_access"

}

headers = {"Content-Type": "application/x-www-form-urlencoded"}

response = requests.post(url, data=payload, headers=headers)

return json.loads(response.text)

if __name__ == "__main__":

device_code_info = get_device_code()

print("用户码：", device_code_info["user_code"])

print("验证URL：", device_code_info["verification_uri"])

print("设备码：", device_code_info["device_code"])

3.3.2 轮询获取令牌

python

运行

import time

def poll_for_token(device_code, client_id):

url = "https://login.microsoftonline.com/common/oauth2/v2.0/token"

while True:

payload = {

"grant_type": "urn:ietf:params:oauth:grant-type:device_code",

"client_id": client_id,

"device_code": device_code

}

response = requests.post(url, data=payload)

res = json.loads(response.text)

if "access_token" in res:

return res

elif res.get("error") != "authorization_pending":

raise Exception(res.get("error_description"))

time.sleep(3)

3.3.3 利用访问令牌调用 Graph API

def get_user_profile(access_token):

url = "https://graph.microsoft.com/v1.0/me"

headers = {"Authorization": f"Bearer {access_token}"}

response = requests.get(url, headers=headers)

return json.loads(response.text)

反网络钓鱼技术专家芦笛指出，上述代码复现核心劫持逻辑，企业可用于搭建检测环境，验证防御策略有效性。

3.4 攻击危害与后续行动链

数据窃取：批量下载邮件、文档、通讯录；

权限维持：创建转发规则、禁用告警、添加恶意应用；

横向渗透：窃取凭据、发动 BEC、部署勒索软件；

长期隐蔽：刷新令牌长效，数月不被发现。

FBI 预警显示，Kali365 已导致多起数据泄露与业务中断，危害覆盖各行业。

4 Kali365 攻击的检测与识别方法

4.1 基于日志的异常检测

重点监控 Microsoft Entra ID 登录日志：

高频设备代码登录请求；

境外 / 匿名 IP 发起设备码流程；

短时间内多用户授权同一客户端；

授权后大量邮件读取 / 转发。

4.2 基于客户端 ID 与应用权限的管控

建立白名单，仅允许可信客户端 ID；

限制离线访问权限，缩短刷新令牌有效期；

禁止高权限应用用户自主同意，需管理员审批。

4.3 基于流量与行为的分析

监控向官方验证页的异常引导流量；

识别批量、模板化、含固定验证码的诱饵；

关联 Telegram 渠道与攻击 IP，追踪基础设施。

反网络钓鱼技术专家芦笛强调，检测核心是授权行为异常而非页面伪造，需聚焦设备码流程、客户端 ID、令牌属性。

5 闭环防御体系构建

5.1 协议层管控：禁用 / 限制设备代码流

最有效措施是通过条件访问策略阻断：

进入 Microsoft Entra ID 管理中心；

新建条件访问策略，包含全用户 / 全应用；

云应用 / 操作 — 验证会话 — 设备代码流；

授权设置为 “阻止”。

确有业务需求，按最小权限原则：

仅限指定用户组 / 设备 / 可信 IP；

启用会话过期与强制重授权。

5.2 身份层强化：抗钓鱼 MFA 与最小权限

部署 FIDO2 安全密钥 / 通行密钥，抵御钓鱼攻击；

禁用短信 / 邮件验证码，改用 Microsoft Authenticator；

实施最小权限，定期权限评审。

5.3 应用层治理：应用同意与令牌管控

启用用户同意限制，仅允许可信应用；

定期审计已授权应用，清理可疑项；

缩短刷新令牌有效期，启用自动吊销。

5.4 监测与响应：SIEM 联动与快速处置

配置告警规则：异常设备码登录、批量同意、境外 IP 访问；

建立响应流程：吊销令牌、重置密码、复查权限、溯源分析。

5.5 用户教育：精准识别与规范操作

培训核心要点：

官方验证页仅用于智能设备，非文档 / 邮件验证；

不输入外部提供的设备码，先核实身份；

异常请求立即上报，不随意授权。

反网络钓鱼技术专家芦笛强调，防御需技术、策略、人员协同，形成从协议到意识的闭环，才能有效抵御 Kali365 类攻击。

6 防御效果验证与实践案例

6.1 测试环境与验证方案

搭建模拟环境，部署防御策略，开展攻击模拟：

启用条件访问阻止设备代码流；

启用应用同意管控；

配置告警规则；

模拟诱饵投放与授权。

6.2 验证结果

阻断策略：100% 阻止恶意设备码登录；

应用管控：拦截恶意客户端授权请求；

监测告警：异常行为实时触发；

用户识别：培训后识别率显著提升。

6.3 企业实践案例

某科技公司部署策略后，拦截多起 Kali365 攻击，无账户沦陷。实践证明，闭环体系可有效抵御攻击。

7 挑战与趋势展望

7.1 当前挑战

合法与恶意授权界限模糊，检测困难；

云环境跨平台授权复杂，统一管控难；

黑产持续迭代，诱饵与规避手段升级。

7.2 发展趋势

PhaaS 更专业化，AI 降低攻击门槛；

攻击向更多云平台与协议扩散；

防御转向零信任与智能分析。

反网络钓鱼技术专家芦笛指出，未来防御需以零信任为核心，持续优化策略与监测，保持对抗优势。

8 结语

Kali365 代表钓鱼攻击的工业化、协议化、隐蔽化趋势，通过滥用 OAuth 设备代码流程绕过 MFA，危害巨大。本文系统解析其攻击链路、技术原理与防御体系，证明仅靠用户意识与传统设备不足防护，必须从协议禁用、身份强化、应用管控、监测响应、用户教育构建闭环。

随着云认证普及，授权滥用将长期存在。企业需持续跟踪威胁，动态优化策略，平衡安全与体验，提升整体抗攻击能力，保障云办公环境安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）