文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

一旦得手,攻击者可立即利用Graph API遍历收件箱,提取包含财务、合同、人事等关键词的邮件线程,自动生成极具欺骗性的横向钓鱼内容,形成指数级扩散。面对此类攻击,仅依赖邮件层防护已显不足。...= {'Authorization': f'Bearer {ACCESS_TOKEN}'}# 获取最近50封邮件mail_resp = requests.get('https://graph.microsoft.com...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...“深度页面解析”模式:当检测到OneDrive/SharePoint链接时,自动渲染页面并提取所有内嵌链接,进行二次信誉评估。...通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。例如,若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页,则极可能为钓鱼。

31010
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...4.6 Graph API 异常行为监控部署KQL查询,检测异常API调用模式:// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

    23910

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    公共互联网反网络钓鱼工作组技术专家芦笛指出,“而Microsoft 365因其广泛使用和强大API能力,成了攻击者的首选目标。”...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...未来版本中,CyberDrain计划加入基于内容指纹的URL解包功能——即自动提取邮件中短链接的真实目标,并集成轻量级沙箱进行初步分析。

    16310

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...此过程中,攻击者无需部署恶意软件,全程利用合法API调用,规避传统EDR检测。思科报告显示,73%的勒索事件中,攻击者在获得凭证后4小时内完成数据加密或外传。...4 面向身份面的纵深防御体系构建鉴于“身份即新边界”,防御体系必须围绕身份生命周期进行重构。...4.2 检测层:行为异常识别用户行为分析(UBA):建立基线模型,监控登录时间、地理位置、设备指纹、API调用频率等维度。...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    24610

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    (二)规避检测:利用UI差异隐藏恶意载荷为绕过基于关键字的邮件网关检测,攻击者采用一种新颖的视觉混淆技术。...设置邮件转发规则:通过Exchange Web Services (EWS) API创建隐藏的邮件转发规则,将含“Board Meeting”、“M&A”、“Q4 Forecast”等关键词的邮件自动转发至外部邮箱...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...通过记录点击率、报告率与后续行为,量化培训效果,并对高频风险个体进行一对一辅导。

    22610

    教育信息系统中的钓鱼攻击识别与防御机制研究——以滑铁卢地区教育局事件为例

    OAuth滥用:利用合法云服务(如Microsoft Azure AD)的第三方应用授权机制,诱导用户授予恶意应用“读取邮件”“发送邮件”等高危权限,绕过传统密码窃取检测。...例如,若某邮件声称来自wrdsb.ca,但其最后一跳中继服务器位于高风险国家(如俄罗斯、朝鲜),则标记为可疑。同时,对邮件正文进行语义分析。...结合命名实体识别(NER),检测是否包含伪造的官方机构名称或联系方式。4.2 第二层:动态URL与OAuth授权监控部署本地URL信誉服务,对邮件中所有链接进行实时解析与沙箱分析。...通过Microsoft Graph API定期拉取用户授权的应用列表,比对白名单。若发现未经批准的第三方应用请求Mail.Read、Mail.Send等权限,自动撤销授权并告警。...= []for grant in resp.json().get('value', []):app_id = grant['clientId']# 查询应用详情app_url = f"https://graph.microsoft.com

    19710

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...Defender for Cloud Apps或自建SIEM规则,检测以下信号:新注册应用请求高权限;用户短时间内多次授权不同应用;授权后立即调用高风险API(如批量导出邮件)。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权...import requestsdef revoke_consent(user_id, app_id, access_token):url = f"https://graph.microsoft.com/

    19010

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    MFA;攻击者轮询令牌端点,成功获取access_token与refresh_token;利用令牌调用Microsoft Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...值得注意的是,此过程中攻击者从未接触用户密码,且所有用户交互均发生在微软域名下,因此传统钓鱼检测工具(如邮件网关URL扫描、浏览器警告)完全失效。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...具体策略可结合Microsoft Defender for Cloud Apps或Identity Secure Score进行优化。

    19710

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    这些攻击不仅绕过了基于URL黑名单、邮件网关过滤和沙箱检测的传统防护机制,还通过模拟微软原生认证流程(如MFA验证码交互),显著提升了欺骗成功率。...更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...(如普通员工创建大量登录页面)以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项:import requestsimport jsondef detect_suspicious_sharing...(token):headers = {'Authorization': f'Bearer {token}'}url = "https://graph.microsoft.com/v1.0/sites/root...headers=headers)drives = response.json().get('value', [])for drive in drives:items_url = f"https://graph.microsoft.com

    24610

    基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

    一旦授权,攻击者即可通过合法API令牌访问用户邮箱、日历等资源,规避传统邮件监控。这两种攻击均可通过非邮件渠道发起,使得基于邮件内容的过滤器形同虚设。...:提供邮件级URL过滤与恶意附件检测。...无Graph API集成:当前版本不自动撤销会话或令牌,需管理员手动响应。权限范围审慎:扩展需activeTab与storage权限,虽无敏感权限,但仍需用户信任。...启用审计日志长期保留:通过Microsoft Purview保留90天以上日志,便于事后溯源。部署Check作为终端侧哨兵:拦截非邮件渠道的钓鱼尝试。三者结合,形成“预防—检测—响应”的闭环。...与Microsoft Graph API联动:在检测到钓鱼后,自动调用/revokeSignInSessions终结用户所有活动会话。

    24910

    钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

    攻击流程如下:用户点击钓鱼邮件中的链接,访问攻击者控制的仿冒登录页(如secure-microsoft-login[.]xyz);该页面实际是一个反向代理,将用户所有请求(包括输入的用户名、密码、MFA...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...= "your_app_token"USER_ID = "user@contoso.com"def get_user_signins(user_id):url = f"https://graph.microsoft.com...$filter=userPrincipalName eq '{user_id}'&$top=10"headers = {"Authorization": f"Bearer {GRAPH_API_TOKEN...,应立即撤销用户所有活动会话:POST https://graph.microsoft.com/v1.0/users/{user-id}/revokeSignInSessionsAuthorization

    28610

    议会邮箱成“数字前线”!英国议员频遭高精度鱼叉钓鱼,国家级黑客正瞄准民主神经中枢

    /')这种攻击能绕过绝大多数基于签名的检测机制,因为整个流程发生在合法HTTPS通道中。...“我们监测到,国内已有针对地方政府官员的钓鱼邮件,伪装成‘中央巡视组通知’或‘政协提案系统升级’,”芦笛透露,“攻击者同样利用政务公开信息、会议新闻稿进行定制。”...第二层:邮件内容深度检测部署支持沙箱动态分析的邮件网关,对所有附件进行行为仿真;启用URL信誉实时查询:即使链接看似合法(如 bit.ly/xxx),也应在点击时二次验证;对含“紧急”“机密”“立即行动...以下是一个基于Microsoft Graph API的示例:# check_forwarding_rules.pyimport requestsGRAPH_API_URL = "https://graph.microsoft.com..."ACCESS_TOKEN = "your_app_token_with_mail_read_permissions"def get_inbox_rules(user_email):url = f"{GRAPH_API_URL

    14410

    今天,GPT-4登陆Office全家桶,打工人的生产方式被颠覆了

    现在,借助 Microsoft 365 Copilot,我们通过先进 AI 和最通用的用户界面 —— 自然语言,赋予人们更多的能力,并使技术更易于访问。」...来自 Microsoft Graph 的神秘力量 人工智能很容易犯错,即使是像 GPT-4 这样的模型也会犯愚蠢的错误。所以,Copilot 如何尽量避免工作失误呢?...它实际上是一个复杂的处理和编排引擎,将 GPT-4 等大模型的强大功能与 Microsoft 365 应用、 Microsoft Graph 中的业务数据结合起来,通过自然语言技术提供给每个人。...给 Copilot 的 prompt 首先会通过 Microsoft Graph(Microsoft 的统一数据 API)进行过滤,以获取更多上下文。...然后将这些修改后的 prompt 发送到 GPT-4,回复会通过 Microsoft Graph 进行过滤以保障安全性、安全性和合规性,然后发送回 Microsoft 365 应用程序。

    2.8K50

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    (2)攻击特征与战术分析通过对英国议会事件中泄露的邮件样本及恶意文档进行复现分析,可归纳出以下典型攻击链。...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...、协作平台使用频率),检测异常:若某议员账户在凌晨3点从境外IP访问并创建邮件转发规则,触发告警;若短时间内向大量非联系人发送含附件邮件,疑似被控为跳板。...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...(5.2)关键功能代码示例自动检测并阻断恶意邮件转发规则:from microsoft_graph import GraphClientdef detect_malicious_forwarding(user_id

    20210

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    Microsoft Teams作为全球超3亿用户使用的协作平台,其通知邮件由微软官方域名 teams.mail.microsoft.com 发出,具备完整的SPF、DKIM、DMARC认证。...邮件内容通常包含两类诱导:紧急事务提示:“检测到你的账户有未授权订阅,月费$299”;社交工程指令:“如非本人操作,请立即拨打以下号码取消”。关键在于,整个过程无需用户点击任何链接。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups...$filter=resourceProvisioningOptions/Any(x:x eq 'Team')对通知邮件中的电话号码进行情报比对:集成威胁情报平台,自动标记已知恶意号码。2.

    19610

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...许多企业安全负责人困惑:我们部署了EDR、邮件网关、MFA,为何仍被突破?答案在于:设备代码钓鱼攻击发生在身份验证之后,且完全走合法API通道。...邮件安全网关:钓鱼邮件来自真实邮箱,内容无恶意附件或链接(指向的是微软官方域名),难以拦截;MFA:用户确实在微软官网完成了交互式登录,MFA已通过;SIEM/SOAR:后续的API调用(如读取邮件)来自微软数据中心...同时,开启风险用户检测(Identity Protection)和异常登录活动告警。例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。

    16310
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券