文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

攻击者部署后门,窃取Exchange电子邮件

近日,Mandiant 安全研究人员发现一个新的、异常隐蔽的高级持续性威胁(APT)组织正在入侵企业网络,并试图窃取参与企业交易(如并购)员工的 Exchange(内部和在线)电子邮件。...获取权限后,立刻窃取数据 Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365...Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。...在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft...365 Exchange Online邮箱。

1.3K10
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    针对exchange的攻击方式

    其接受来自内部组织的邮件和来自外部可信服务器的邮件,然后应用特定的反垃圾邮件、反病毒策略,最后将通过策略筛选的邮件路由到内部的集线传输服务器,可选角色 exchange 2013 邮箱服务器 托管邮箱、...EWS Exchange Web Service,是exchange提供的一套API编程接口,用于操作exchange相关功能,于exchange server 2007被提出。...发现 端口扫描 exchange会对外暴露接口如OWA,ECP等,所以我们可以通过一些端口特征来发现exchange。.../EWS/Exchange.asmx /EWS/Services.wsdl /EWS /ecp /OAB /OWA /aspnet_client /PowerShell 想要更方便的话,可以用msf...=/rpc/rpcproxy.dll -Pn EXCHANGE 外围打点 爆破 接触到exchange的第一步自然是接触到它的接口服务如OWA,ECP等。

    5.1K20

    网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

    Exchange Server是一种本地化部署的形式,除此之外还有以SaaS的在线服务模式,这两种部署模式即各种文档或资料中常说的Exchange On-premise和Exchange Online,...邮箱服务器(mailbox server):该角色是提供托管邮箱、公共文件夹以及相关的消息数据(如地址列表)的后端组件,是必选的服务器角色。...Exchange Web Service(EWS,SOAP-over-HTTP) Exchange提供了一套API编程接口可供开发者调用,用于访问Exchange服务器,与邮件、联系人、日历等功能进行交互和管理操作...除此之外,有时候通过其他一些方法同样可以帮助探测确认Exchange服务,如发现OWA、EWS接口、自动发现服务、DNS域名记录等等,Exchange是一个庞大复杂的组件服务,各种配置信息和公开服务都可以帮助我们进行信息收集...该攻击方式需要钓鱼邮件的配合,或者配合Responde、Inveigh等工具实施名称查询欺骗来完成。

    5.8K20

    Exchange漏洞攻略来啦!!

    /Exchange.asmx /EWS/Services.wsdl /EWS/ /OAB/ /Mapi API接口 说明 /autodiscover 自 Exchange Server 2007 开始推出的一项自动服务...2、通过 Exchange Web Service(EWS) 通过EWS接口,可以实现客户端与服务端之间基于HTTP的SOAP交互。很多针对 Exchange 的二次开发,都是基于该端口进行开发。...该工具实现了将获取到的 Net-NTLM 哈希重放到真实 Exchange 服务器的 EWS 接口进行认证,通过 EWS 获取用户邮箱的邮件信息、附件下载、创建转发规则、查询GAL等。...1、邮箱托管 Exchange 邮件服务存在一种机制,可以设置权限将邮箱委托给指定用户管理使用。 这种委托可以是全局的委托,可以通过后台修改;也可以是对单独文件夹进行委托,用户自行对文件夹设置。...在默认情况下,某些管理员在配置时,组用户会默认拥有对组内用户的委托管理权限。

    9K20

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    设置邮件转发规则:通过Exchange Web Services (EWS) API创建隐藏的邮件转发规则,将含“Board Meeting”、“M&A”、“Q4 Forecast”等关键词的邮件自动转发至外部邮箱...此后,即使原始凭证被重置,攻击者仍可通过OAuth令牌维持API级访问,实现长期潜伏。...同时,将高管账户的登录策略绑定至特定企业托管设备(Intune或Jamf管理),禁止从未注册设备发起的任何交互式登录。...Online PowerShell检查隐藏转发规则:Get-InboxRule -Mailbox "ceo@company.com" |Where-Object { $_.ForwardTo -or...本文通过解构攻击链、评估防御缺口并提出可实施的缓解措施,强调了在身份安全领域“默认不信任、持续验证”的必要性。对于C级高管这一特殊群体,安全策略必须超越通用最佳实践,走向精细化、场景化与自动化。

    22910

    中小医疗机构邮箱安全漏洞与数据合规风险研究

    (二)横向移动与信任滥用一旦获得合法邮箱访问权限,攻击者即可利用“发件人可信度”实施二次攻击。...这些操作均可通过Webmail界面或Exchange Web Services(EWS)API完成,无需安装恶意软件,因而难以被终端防护软件察觉。...这些标准虽非直接具有法律效力,但在合规审计中常被引用作为“行业最佳实践”证据。未能遵循者,将在举证“已尽合理注意义务”时处于不利地位。...(一)关键特征选取通过分析Exchange Online或IMAP日志,可提取以下维度:登录特征:IP地理位置、设备类型、用户代理(User-Agent)、登录时间分布;邮件行为:日发送量、收件人多样性...MFA、条件访问、威胁防护功能;部署开源日志分析工具如Graylog,配合预设规则集实现基础监控;与区域性医疗IT服务商签订托管安全服务(MSSP)合同,按需付费。

    27110

    使用Go语言接入Choerodon实现基于OAuth2的统一身份认证登录

    配置OAuth2 首先,我们需要在OAuth2服务注册我们的客户端,得到配置OAuth2的一些参数,如ClientID、ClientSecret、RedirectURL等。...然后,使用OAuth2的conf.Exchange方法来交换授权码以获取访问令牌。 4....6.其它思考 上述示例代码将用户的信息和token直接保存在Session中,可能在某些场景下(比如移动APP等非Web场景)就不能直接保存在Session中了,可以考虑在客户端置换Jwt来实现。...本文主要参考以下文章完成,部分内容值得研读,记录一下: RFC Reader - An online reader for IETF RFCs 理解OAuth 2.0 - 阮一峰的网络日志 理解OAuth2.0...认证与客户端授权码模式详解-腾讯云开发者社区 如何验证和刷新 OAuth2 Token - 知乎 OAuth2.0用refresh_token更新access_token令牌_reuserefreshtokens_CSDN

    32400

    从五个方面入手,保障微服务应用安全

    资源服务器 托管受保护资源的服务器,能够接收和响应使用访问令牌对受保护资源的请求。 客户端 使用资源所有者的授权代表资源所有者发起对受保护资源的请求的应用程序。...客户端凭证 上图为OAuth2.0规范标准流程图,结合此场景中,对应OAuth2.0中的角色,API客户端作为OAuth2.0的客户端、IAM则为授权服务器。...其他非前后端分离的混合Web应用自身就是客户端,不需要借助网关交换访问令牌。 ?...PKCE, 全称Proof Key for Code Exchange,即保护授权代码授权。...微服务的4个设计原则和19个解决方案 从微服务架构实施看企业数字化转型 ? 关于作者:炎峰,现任普元金融研究院架构师。

    3.5K20

    复杂邮件路由场景下域名伪造钓鱼的成因与系统性防御研究

    通过在模拟企业环境中部署原型系统,验证了该框架可有效识别并阻断利用路由复杂性实施的伪造邮件,同时显著降低误报率。...(2)攻击技术原理与路由滥用机制2.1 邮件路由复杂性来源现代企业邮件流常涉及以下非直连路径:第三方安全网关:如Mimecast、Proofpoint等,在邮件进入Exchange Online前进行过滤...;混合部署架构:部分用户邮箱托管于本地Exchange Server,通过连接器与云端同步;自动化设备:打印机、扫描仪、业务系统通过Direct Send或中继方式发送通知;邮件转发规则:用户设置自动转发至外部邮箱...在此类场景中,邮件可能经历“攻击者 → 中继A → 网关B → Exchange Online”的多跳传输。...Online include:spf.protection.outlook.com 是安全网关 Mimecast 198.51.100.0/24 是本地Exchange On-prem Server

    14610

    基于Direct Send机制的Microsoft 365内部钓鱼攻击分析与防御策略

    关键词:Microsoft 365;Direct Send;内部钓鱼;邮件伪造;云安全;SMTP中继1 引言Microsoft 365作为全球广泛采用的企业级协作平台,其邮件服务Exchange Online...2 Direct Send机制技术原理2.1 功能定义与设计初衷Direct Send是Exchange Online Protection(EOP)提供的邮件投递选项之一,适用于无法支持现代认证协议(...阶段二:中继设备劫持攻击者扫描互联网上配置不当的第三方邮件安全设备(如Barracuda、Mimecast代理),这些设备通常由区域IaaS提供商托管。...日志分散:攻击线索分散于网络层(VPS RDP)、应用层(中继设备日志)、邮件层(Exchange Online日志),难以关联。...可通过Exchange Online PowerShell执行:# 连接Exchange OnlineConnect-ExchangeOnline -UserPrincipalName admin@targetcorp.com

    23210

    API安全:保护数据交换的生命线

    腾讯云API网关 产品介绍: 腾讯云API网关是一款为用户管理、发布、维护API的服务平台,支持多种协议和安全策略,帮助用户构建安全、高效的API生态。...优势: 集成腾讯云安全能力,如WAF(Web应用防火墙)和DDoS防护,有效抵御外部攻击。 提供API限流、熔断等流量控制功能,保障后端服务稳定性。...支持多种身份验证方式,如OAuth2.0,增强API调用的安全性。 劣势: 对于小型开发者或初创企业,可能存在一定的成本压力。...AWS API Gateway 产品介绍: AWS API Gateway是亚马逊提供的完全托管的服务,用于创建、发布、维护、监控和保护任何规模的API。...劣势: 对于非Azure用户来说,可能需要额外的学习成本。 与AWS和腾讯云相比,可能在某些地区的服务覆盖和性能上存在差异。 总结 API安全是确保数据交换安全和业务连续性的关键。

    15610

    基于SVG脚本注入的M365钓鱼攻击机制与防御体系研究

    关键词:SVG钓鱼;Tykit;M365;钓鱼即服务;零信任;FIDO2;条件访问1 引言随着远程办公与云协作的普及,Microsoft 365(M365)已成为全球企业核心生产力平台,其集成的Exchange...Online、SharePoint与Teams承载大量敏感数据与通信流量。...近期,安全研究机构ANY.RUN披露的“Tykit”钓鱼套件即代表了这一趋势:攻击者不再依赖传统HTML附件或恶意宏文档,而是转向利用SVG格式的脚本执行能力实施精准钓鱼。...2.4 横向移动阶段获取M365凭据后,攻击者立即尝试:登录Outlook Web Access读取邮件;访问SharePoint下载敏感文档;利用Exchange Web Services(EWS)发送新一轮钓鱼邮件...未来工作将探索基于机器学习的SVG行为异常检测模型,并推动邮件标准组织(如IETF)对可执行图像格式实施更严格的默认安全策略。

    26610

    基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

    首先,当攻击载体脱离电子邮件(如通过WhatsApp、Telegram、电话引导用户访问短链接),邮件网关完全失效;其次,即使启用了MFA,若用户在钓鱼页面上同时输入主密码与一次性验证码,攻击者仍可实施...OAuth滥用:攻击者诱导用户授权一个看似无害的第三方应用(如“PDF Viewer”、“Calendar Sync”),该应用请求过度的API权限(如Mail.ReadWrite, Calendars.ReadWrite...一旦授权,攻击者即可通过合法API令牌访问用户邮箱、日历等资源,规避传统邮件监控。这两种攻击均可通过非邮件渠道发起,使得基于邮件内容的过滤器形同虚设。...2.2 现有防御体系的局限性Microsoft自身提供了多项安全功能:Exchange Online Protection (EOP) 与 Microsoft Defender for Office 365...禁用旧式认证协议:如Basic Auth、IMAP/POP3,防止凭证被直接用于API调用。配置条件访问策略:限制登录地理位置、设备合规性。

    25010

    认证鉴权也可以如此简单—使用API网关保护你的API安全

    2)传统的OAuth2.0方式需要自己实现颁发和校验Token的服务,EIAM方式可将该部分逻辑托管到EIAM上。...对于完成授权的用户,直接返回 API 后端调用结果。 4)传统的OAuth2.0方式用户需要自己维护授权关系,EIAM方式下,可将用户RBAC模型托管到EIAM上。...2) 提供两种应用类型:“非 Web 客户端”与“Web 客户端”: 非 Web 客户端:适用于非 Web 客户端发起的API调用,如服务器端、C/S架构系统客户端、App 客户端、小程序客户端,能支持以...POST 方式发起请求,需要自行请求授权 API 获取 Token,再使用 Token 请求业务 API; Web 客户端:适用于 Web 客户端发起的 API 调用,如浏览器、客户端应用 Web Viewer...当API网关EIAM应用类型为"非Web客户端"时,使用密码模式,当API网关EIAM应用类型为"Web客户端"时,使用授权码模式, 4)鉴权方式 EIAM提供在线鉴权接口,API网关可以提供<应用id

    12.1K155

    微服务架构下的统一身份认证和授权

    公有云服务即 SAAS,提供系统级的应用服务,包括企业服务如企业邮箱、办公 OA、人力资源系统等,个人服务如个人邮箱、云笔记、云网盘等。...综合考虑,推荐采用无状态 API 模式,其中 OAuth2.0 能够完全满足。...OAuth2.0 四种授权模式的应用场景 场景 描述 适用模式 用户注册(外部服务) 用户在 APP 提供的注册页面,完成注册请求 非受控接口,无须鉴权 用户登录(外部服务),返回 token 用户在...技术选型 后续会写实践篇,敬请期待…… 三)第二方案:JWT + API 网关 JWT 是一种自包含的客户端令牌系统技术规范,这是其与 OAuth2.0 最大的不同。...除此之外,可以简单地将 JWT 当作 OAuth2.0 密码模式的半自动版本。在实施 JWT 方案时,大部分情况下与 OAuth2.0 基本一致,本文不重复阐述,只对几个要点和不同之处加以说明。

    4.9K50

    Outlook紧急安全防护:全面解析CVE-2023–23397权限提升漏洞及其防御策略

    实施哈希传递缓解措施,例如不在网络上存储密码哈希,也有助于防御这种技术。现在让我们进入正题。什么是CVE-2023–23397?...Web Services API枚举和修改用户邮箱文件夹的权限。...收集并分析相关的Exchange Server日志,如EWS、OWA、跟踪、IIS和PowerShell日志。查找NTLM身份验证异常以及邮箱枚举/修改的证据。...总之,保护Outlook需要及时修补客户端、在消息和服务器日志中搜寻利用迹象、限制攻击面(如SMB和NTLM),以及实施多因素认证和其他缓解控制措施。持续的检测和响应能力也至关重要。...组织必须应用紧急缓解措施,如修补、强化Outlook和Exchange配置、强制实施多因素认证,以及实施强大的威胁追踪来检测利用尝试。针对这一关键威胁的持续警惕和响应能力至关重要。

    9610

    高价值外交目标的定向鱼叉攻击与防御体系构建——以伊朗黑客行动为例

    其典型TTPs(战术、技术与程序)包括:利用OSINT构建个性化诱饵;采用合法云服务(Google Drive、OneDrive)托管恶意载荷;使用PowerShell或JavaScript轻量脚本执行内存驻留...;配置Exchange邮件转发规则实现数据渗出。...onedrive.com/*"action: isolate_in_readonly_modeblock_download: truedisable_javascript: false # 允许JS但限制本地API...Online PowerShell脚本定期审计邮件规则:# 检测可疑转发规则Get-InboxRule | Where-Object {$_.ForwardTo -or $_.RedirectTo -...Approved*"} | Export-Csv "suspicious_rules.csv"同时,集成Azure AD Identity Protection,启用“非常规位置登录”实时告警:// KQL查询:非工作地登录

    28510

    Quantum Route Redirect工具对Microsoft 365钓鱼攻击的自动化机制与防御对策研究

    传统钓鱼依赖静态页面与单一诱饵,而现代PhaaS平台如Quantum则将攻击流程模块化、商品化,提供从受害者识别、页面投递到战利品管理的端到端服务。...例如,攻击者可利用被盗邮箱发起线程劫持(Thread Hijacking),插入伪造发票诱导财务付款;或通过Exchange Web Services(EWS)导出敏感邮件与联系人数据。...例如:美国IP + en-US → 跳转至托管于Cloudflare Workers的美版Office 365克隆页德国IP + de-DE → 跳转至德国本地化Teams登录页多跳重定向:为规避URL...凭证与会话捕获:钓鱼页面提交表单后,数据通过POST发送至攻击者API。...3 攻击影响与横向移动路径一旦成功窃取凭证或会话,攻击者可迅速展开后续行动:邮箱接管与线程劫持:通过Outlook Web Access(OWA)或EWS API监控收件箱,识别正在进行的商务沟通(如合同

    24010

    GitHub设备码授权机制下的新型钓鱼攻击研究

    摘要近年来,随着软件开发流程向云端集中化演进,GitHub作为全球主流的代码托管与协作平台,已成为攻击者重点目标。...2 GitHub OAuth2设备授权流程概述OAuth2.0设备授权流(Device Authorization Grant)是专为输入受限设备(如智能电视、CLI工具)设计的授权模式。...3 攻击机制剖析3.1 攻击前提与准备攻击者需具备以下条件:可调用GitHub公开API的能力(无需认证);获取至少一个合法的client_id(可复用公开应用ID,如VS Code的01ab8ac9400c4e429b23...查询仓库密钥;在自托管Runner上执行任意命令(若存在);向关键仓库注入恶意commit,触发供应链攻击。...5.2 组织安全策略企业应:实施令牌权限最小化原则:通过GitHub Enterprise的精细权限控制,限制开发者令牌的默认scope;监控异常令牌活动:部署SIEM系统,告警非工作时间、非常用地域的仓库克隆或

    31110
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券