文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

这一过程被称为中间人(AiTM)攻击,它有效地规避了MFA带来的安全增益。在获取账户控制权后,攻击者随即转入商业电子邮件入侵(BEC)阶段。...由于现代Web应用(包括Office 365)在会话有效期内主要依赖Cookie来维持登录状态,攻击者只需将这些Cookie注入到自己的浏览器或自动化工具中,即可直接访问受害者的邮箱、OneDrive和...以下是一个基于Python的示例,演示如何利用Microsoft Graph API查询SharePoint共享活动,并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志(实际部署中需处理分页和API限流)。

9410

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

此类链接初期指向微软官方域名(如1drv.ms、sharepoint.com),通过SPF/DKIM验证,有效绕过传统邮件安全网关的外部域名过滤策略;随后,页面内嵌按钮或评论区中的二次跳转链接将用户导向仿冒登录门户...4 防御体系构建4.1 启用基于上下文的条件访问策略Azure AD条件访问可限制高风险会话的令牌颁发。...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...因此,检测重心必须前移至“会话建立后的连续性”:用户从OneDrive共享页面跳转至登录页的行为是否符合常规路径?登录后首次访问的应用是否为Outlook而非原共享文档?...通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。例如,若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页,则极可能为钓鱼。

31710
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...攻击者一旦获取低权限账户(如通过撞库或泄露凭证),即可创建看似合法的共享项,并设置短时效访问控制,进一步规避基于长期URL监控的威胁情报系统。...部分高级变种甚至支持OAuth授权码拦截,直接获取用户会话令牌,实现无密码持久化访问。四、检测模型构建针对上述攻击链,需建立多维度检测机制。...(如普通员工创建大量登录页面)以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项:import requestsimport jsondef detect_suspicious_sharing...五、防御体系构建5.1 权限最小化原则禁用非必要用户的“外部共享”权限对文档库设置“仅组织内成员可访问”审计并清理长期有效的匿名共享链接5.2 条件访问策略强化在Azure AD中配置策略:禁止从非托管设备访问

    24910

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...一旦同意,攻击者即获得授权码,兑换为访问令牌(access token)与长期有效的刷新令牌,从而无需再次触发MFA即可持续访问用户邮箱与文件。...;应用使用令牌调用Microsoft Graph API。...4.2 条件访问:基于权限范围的策略拦截创建条件访问策略,阻止包含高危权限的应用获取令牌:策略逻辑:触发条件:应用请求包含Mail.ReadWrite、User.ReadWrite.All等;操作:阻止登录...所提出的纵深防御体系,从策略控制、实时拦截、事后审计到行为监控,形成了闭环防护。实践表明,仅靠技术手段不足,必须结合身份治理流程与用户认知提升,方能有效应对这一“合法外衣下的非法访问”。

    24210

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    该链接表面指向一个常规文档,实则加载伪装成Microsoft 365登录界面的钓鱼页面,并在用户输入凭证后实时中继多因素认证(MFA)请求,实现凭证与会话令牌的双重窃取。...一旦C级高管账户被攻破,攻击者可迅速获取董事会纪要、并购谈判材料、财务预测模型等高价值战略资产,并进一步部署持久化访问机制(如恶意OAuth应用),甚至发起商业电子邮件欺诈(BEC)以操控资金流向或对外合作决策...此过程实现了“Adversary-in-the-Middle”(AiTM)攻击,使攻击者能在用户完成完整认证流程的同时获取有效会话Cookie或Refresh Token。...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后,即使原始凭证被重置,攻击者仍可通过OAuth令牌维持API级访问,实现长期潜伏。

    23010

    基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

    该工具包通过动态反向代理机制,在用户完成完整认证流程(包括输入密码与MFA验证码)后,同步截获有效会话Cookie与访问令牌,并立即用于接管Microsoft 365账户,实现对Outlook、Teams...、SharePoint等核心服务的无缝访问。...尤其在Microsoft 365生态中,一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌,即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作,而无需再次触发MFA。...具体流程如下:用户访问钓鱼URL;攻击者服务器向Microsoft 365发起GET /login请求,获取原始登录页HTML;攻击者替换HTML中的表单提交地址(action)为自身代理端点,并注入JavaScript...因此,组织应转向衡量“被劫持会话的有效持续时间”:从会话创建到首次异常活动的时间;从令牌颁发到被CAE撤销的延迟;攻击者利用会话发起横向钓鱼的平均间隔。

    20910

    基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

    更严重的是,攻击者在获取初始访问权限后,能快速横向移动,造成数据泄露、BEC欺诈乃至供应链污染。本文聚焦于此类“情境化钓鱼”的技术实现、绕过机制与防御对策。...获得有效会话后,攻击者通过Graph API注册恶意OAuth应用:POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...Files.Read.All", "type": "Scope" },{ "id": "Chat.Read", "type": "Scope" }]}]}该应用随后被授予管理员同意(利用用户权限漏洞),获得长期访问令牌...4 多层次防御架构设计4.1 条件访问策略(Conditional Access)通过Azure AD条件访问,限制高风险上下文中的登录行为:{"displayName": "Block High-Risk...有效的应对必须从架构层面重构:通过条件访问限制风险上下文,通过阻断遗留协议消除弱认证入口,通过OAuth审批控制第三方应用权限,并通过统一日志实现行为闭环监控。

    23410

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    (二)会话令牌捕获与持久化利用与传统钓鱼仅窃取密码不同,VoidProxy的核心目标是获取有效的会话标识符。...对于Microsoft Entra ID,关键令牌包括:Session Cookie:如ESTSAUTHPERSISTENT,有效期可达90天;Refresh Token:用于在后台静默获取新的访问令牌...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等,完全绕过前端UI与MFA提示。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。

    24210

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    例如,发送一封看似来自《卫报》记者的邮件:“我们正在撰写关于您提案的报道,请在此OneDrive链接中查看事实核查草稿”,链接指向攻击者控制的SharePoint站点,页面模仿Microsoft登录界面...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...、邮件收发时段、协作平台使用频率),检测异常:若某议员账户在凌晨3点从境外IP访问并创建邮件转发规则,触发告警;若短时间内向大量非联系人发送含附件邮件,疑似被控为跳板。...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...本文研究表明,有效的防御不能仅靠加固边界,而需构建以身份为中心、行为为依据、策略为约束的动态防护体系。

    20310

    SharePoint 高危零日漏洞 (CVE‑2025‑53770) 遭利用,实现无需认证的远程代码执行

    背景回顾我之前分析了 CVE‑2025‑49706 —— SharePoint中的一个欺骗漏洞,允许令牌操作、Web Shell上传以及在获得认证立足点后的横向移动。...CVE‑2025‑53770 建立在相同的基础上,但完全跳过了登录步骤。 什么是 CVE‑2025‑53770?...,这是CVE‑2025‑49706的一个变种,涉及对特制的身份验证令牌处理不当——结合恶意的__VIEWSTATE有效载荷——导致直接在IIS工作进程中执行代码。...__VIEWSTATE有效载荷或伪造的令牌绕过验证代码在IIS中以NT AUTHORITY\SYSTEM权限执行Web Shell被上传,建立远程访问启动C2通信,开始横向移动️ 缓解与修补✅ 立即打补丁微软已于...✅ 系统加固打补丁前,禁用对SharePoint的外部访问Set-MpPreference -EnableControlledFolderAccess EnabledSet-MpPreference -

    17210

    基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

    文中通过 Python 与 Microsoft Graph Security API 的代码示例,展示如何实现异常登录行为的自动化检测与响应。...2.3 攻击链闭环:从凭证窃取到数据提取一旦获得有效会话,攻击者通常执行以下操作:利用已授权身份访问内部应用(如 SharePoint、CRM);查询或导出敏感数据库(如校友捐赠系统);建立持久化后门(...可通过 Microsoft Graph Security API 实时监控高风险活动。...此外,通过 Graph API 监控,我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件,验证了检测机制的有效性。...因此,安全重心必须从“是否合法登录”转向“登录后是否在做合法的事”。另一个值得反思的问题是教育机构的安全投入优先级。高校往往重视科研网络安全,却忽视行政系统的防护。

    23400

    “Zipline”鱼叉式钓鱼行动的技术机制与企业防御体系研究

    这些链接表面指向OneDrive、SharePoint等受信云服务,实则经由短链或CDN中转,最终加载伪造的登录页面。...Zipline的独特之处在于其闭环运营模型:攻击载荷按行业(制造、医疗、法律服务)动态适配术语与品牌元素;访问控制引入一次性令牌与地理围栏,阻止安全沙箱复现;凭证提交后立即通过自动化脚本验证有效性,失败则触发人工电话跟进...";}此设计确保每个链接仅有效一次,防止多次访问触发告警。...4 企业级纵深防御体系设计4.1 条件访问与无密码认证根本性降低凭证价值:在Azure AD中强制实施条件访问策略(Conditional Access Policy):要求所有登录来自合规设备;高风险登录...全面推广FIDO2安全密钥或Passkey:凭据绑定RP ID(如login.microsoftonline.com),钓鱼站点无法获取有效断言;即使用户误输入,攻击者也无法重放。

    23610

    Windows 商店应用中使用 SharePoint REST API

    这也就意味着,开发人员可以使用 REST Web技术和标准开放数据协议(OData)语法从其 SharePoint 相关应用程序、解决方案和客户端应用程序执行 CRUD 操作。...而针对远程 Web 或移动应用,必须先获得访问权限,才能使用 SharePoint 数据资源。      ...在 REST API 出现之前,我们需要通过 client.svc 这个 WCF 服务来请求 SharePoint 的列表数据,而且仅限于获取数据。数据的修改并没有在这个服务中体现。...$select=Author,Title,ISBN,这样我们就会在取得Books这个列表时,只获取作者,书名和ISBN三个有效字段。       ...最后还涉及到一个授权的问题,如前面所说,远程访问都需要先授权才能访问资源。我们可以通过 OAuth 授权的方式来完成应用授权和身份验证。将获得的 OAuth 访问令牌加入到请求标头中。

    6.8K150

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    (Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后,Microsoft将授权码发送至redirect_uri。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4.3 刷新令牌生命周期过长在未启用条件访问(Conditional Access)的情况下,刷新令牌有效期可达90天。即使用户更改密码,旧令牌仍有效,导致凭证轮换失效。...本文通过技术还原攻击链,证实了从应用注册到数据窃取的可行性,并据此提出分层防御策略。防御的关键在于将OAuth授权视为高风险操作,而非普通登录流程。

    25310

    基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

    研究表明,仅依赖传统邮件安全网关无法有效识别此类“寄生式”攻击,必须从身份平台治理层面重构安全边界。...一旦用户因恐慌拨打电话,攻击者便以“微软账单专员”身份进行话术诱导,要求用户下载 AnyDesk、TeamViewer 等远程控制软件,或引导其访问仿冒的微软登录页面输入凭据。...自动邀请:当外部用户首次访问受保护的应用(如 SharePoint Online)时,系统可自动触发邀请流程。...,用户点击后需使用其现有 Microsoft 账户或工作账户登录,完成接受流程。整个流程符合 OAuth 2.0 与 OpenID Connect 标准,具备端到端加密与令牌绑定。...一旦获得权限,攻击者可通过 Microsoft Graph API 发送邀请。

    16900

    “MFA已过时?”Tycoon 2FA钓鱼套件掀起会话劫持风暴,全球超6万账户沦陷

    几秒后,页面显示“登录成功”,并自动跳转至公司SharePoint文档库。一切看起来再正常不过。然而,就在那一刻,她的会话Cookie已被实时截获。...(3)会话持久化与横向移动一旦获取有效会话Cookie,攻击者通常采取以下行动:使用curl或requests库携带Cookie访问https://outlook.office365.com/mail,...读取邮件;调用Microsoft Graph API创建邮件转发规则或应用密码(App Password);下载通讯录,为后续BEC(商业电子邮件欺诈)做准备;在OneDrive上传Web Shell,...2025年第四季度,某华东跨境电商公司安全团队在日志中发现异常:多个高管账户在非工作时间从境外IP发起Graph API调用,但登录记录显示MFA验证成功。...同时,实施会话地理一致性策略:若用户在北京登录,一小时后却从莫斯科访问邮箱,系统应自动登出并要求重新认证。

    25710

    Quantum Route Redirect工具对Microsoft 365钓鱼攻击的自动化机制与防御对策研究

    在此基础上,提出涵盖身份策略强化、条件访问控制、终端行为监控与安全运营中心(SOC)检测规则的多层次防御体系。通过构建可部署的重定向链解析原型与异常登录检测逻辑,验证技术对策的有效性。...更值得关注的是,部分变体已集成会话Cookie捕获与转发功能,使攻击者在获取初始凭证后,可直接复用有效会话令牌,绕过基于短信或认证器App的MFA验证。...2.2 MFA绕过机制尽管Microsoft 365广泛部署MFA,Route Redirect仍可通过以下方式实现绕过:会话令牌复用:若受害者近期已通过MFA登录,其浏览器中存在有效会话Cookie。...攻击者窃取该Cookie后,可在无密码情况下直接访问资源。条件式挑战规避:部分企业未对“可信网络”外的登录强制MFA。攻击者若从与受害者同国家的代理出口发起请求,可能触发宽松策略。...4.4 SOC检测规则开发基于Microsoft Graph Audit Logs与Identity Protection信号,构建以下检测用例:会话Cookie异常使用:同一会话令牌在多个不同User-Agent

    24410

    钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

    其成功不仅依赖加密算法的强度,更取决于能否高效获取目标系统的初始访问权限。...尤为值得关注的是,攻击者不再仅满足于窃取静态凭证,而是通过AitM代理实时拦截用户与合法服务之间的完整认证流程,包括MFA令牌,从而获取有效的会话Cookie。...:将默认90天会话缩短至4-8小时;高敏操作再验证:对以下操作强制重新认证:创建邮箱转发规则;授予第三方OAuth应用权限;修改MFA设置;访问敏感SharePoint站点。...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...$filter=userPrincipalName eq '{user_id}'&$top=10"headers = {"Authorization": f"Bearer {GRAPH_API_TOKEN

    29010
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券