其核心能力在于:根据访问者的IP地理位置、浏览器语言、User-Agent等特征,动态选择最匹配的仿冒登录模板(如美式英语版Office 365登录页、德语版Teams门户等),并通过多级HTTP 302...例如:美国IP + en-US → 跳转至托管于Cloudflare Workers的美版Office 365克隆页德国IP + de-DE → 跳转至德国本地化Teams登录页多跳重定向:为规避URL...3 攻击影响与横向移动路径一旦成功窃取凭证或会话,攻击者可迅速展开后续行动:邮箱接管与线程劫持:通过Outlook Web Access(OWA)或EWS API监控收件箱,识别正在进行的商务沟通(如合同...Conditions @{Users = @{ IncludeGroups = @("Finance-Team-GID") }Applications = @{ IncludeApplications = @("Office365...随着云身份成为数字业务的核心枢纽,构建以零信任为指导、以行为分析为驱动的纵深防御体系,已成为保障Microsoft 365环境安全的必然路径。编辑:芦笛(公共互联网反网络钓鱼工作组)
,集线传输服务器,统一消息服务器,边缘传输服务器。...EWS Exchange Web Service,是exchange提供的一套API编程接口,用于操作exchange相关功能,于exchange server 2007被提出。...EXCHANGE信息搜集 在渗透中该如何发现哪一台机器是EXCHANGE服务器呢?...Exchange管理控制台 /Rpc/ 早期的Outlook还使用称为Outlook Anywhere的RPC交互 工具使用 https://github.com/vysec/checkO365 版本确定.../Rpc/ # 早期的 Outlook 还使用称为 Outlook Anywhere 的 RPC 交互 /EWS/Exchange.asmx /EWS
这里的关键要点是,如果您不仔细保护和控制全局管理员角色成员资格和关联帐户,您可能会失去对所有 Azure 订阅中托管的系统以及 Office 365 服务数据的积极控制。...我最大的担忧是,对于许多组织而言,管理 Azure AD 和 Office 365 的组通常与管理 Azure 的组不同。这意味着有人可以提升访问权限(想想流氓管理员)而没有人会注意到。...我还发现了一个似乎相关的 API,这意味着攻击者无需访问 Azure AD 门户即可执行此操作。...攻击者会破坏组织的全局管理员帐户,因为他们刚刚开始使用 Office 365,或者没有意识到保护 GA 的风险。无论哪种方式,GA 帐户都没有被 PIM、条件访问或 MFA 锁定。...结论: 客户在 Azure 云中托管本地 Active Directory 域控制器。客户还拥有 Office 365,其管理员帐户未得到适当保护。
RaccoonO365:专盯企业Office 365账户的“钓鱼工厂”RaccoonO365并非传统意义上的单一钓鱼网站,而是一个模块化、可租用的钓鱼即服务平台(PhaaS)。...其核心目标直指企业员工的Office 365账户。...例如,页面加载后会立即调用特定参数化的fetch()函数,将用户凭证POST至统一格式的Webhook地址(如https://discord.com/api/webhooks/XXXXX/XXXXX)。...通过快速情报共享与协调响应,双方将攻击者从一个被封域名切换到备用域名的“过渡窗口”从数小时压缩至几分钟,极大削弱了RaccoonO365的弹性恢复能力。技术细节揭秘:如何“看见”看不见的钓鱼?...正常用户使用Chrome、Edge等浏览器访问不同网站时,指纹虽有共性,但不会在数百个新域名上完全重复。2.
关键词:Microsoft 365;钓鱼攻击;生产力惯性;OAuth滥用;MFA中继;条件访问;遗留协议;统一审计日志1 引言随着远程办公常态化,Microsoft 365已成为全球企业数字协作的核心平台...2.2 登录门户伪装与反向代理恶意登录页通常托管于两类位置:被攻陷的合法域名:如某合作方网站遭入侵,子域office....4.4 统一日志与异常检测利用Microsoft 365统一审计日志,编写KQL查询检测可疑活动:AuditLogs| where Operation in ("Add service principal...应转向情境化训练:演示如何检查浏览器地址栏中的根域名(如login.microsoftonline.com而非microsoft-office.com);教育用户:MFA推送不应在无主动登录时出现;推广...编辑:芦笛(公共互联网反网络钓鱼工作组)
现有研究多聚焦于Office宏、PDF或HTML钓鱼,对SVG作为攻击载体的关注较少。本文旨在填补此空白,围绕以下核心问题展开:Tykit如何利用SVG格式特性绕过邮件安全网关?...其社会工程策略如何增强用户信任并提升凭据提交率?现有M365安全控制(如条件访问、MFA)在面对此类攻击时存在哪些盲区?如何构建技术与管理协同的防御体系以阻断攻击链?...2.4 横向移动阶段获取M365凭据后,攻击者立即尝试:登录Outlook Web Access读取邮件;访问SharePoint下载敏感文档;利用Exchange Web Services(EWS)发送新一轮钓鱼邮件...','outlook.office365.com'];if (!...编辑:芦笛(公共互联网反网络钓鱼工作组)
那么,我们来看看Office 365的开发,到底跟开源有什么关系呢?...https://github.com/sharepoint Office 365 开发 :https://github.com/officedev 如今的Office 365,不仅在产品研发时用到了很多开源的技术和组件...这一点是由Microsoft Graph的工作机制来保证的 —— 它就是一套标准的REST API,你可以在任意平台进行调用,而且产品组还提供了主流平台的SDK 。 ?...、JQuery 等开源技术和框架来构建你的应用,在设计你的UI时,你还使用微软开源的Office Fabric UI呢。...微软和Office 365 全面拥抱开源,你怎么看?你又会怎么做呢?
Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。...△UNC3524 隧道 UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件,大大延长了初始访问与受害者检测到其恶意活动,并切断访问之间的时间间隔。...值得一提的是,Mandiant 表示,即使延长了时间,UNC3524 组织也没有浪费时间,一直使用各种机制重新破坏环境,立即重新启动其数据盗窃活动。...在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft...365 Exchange Online邮箱。
云监控不仅仅是监控AWS或Azure上托管的服务器。对于企业来说,他们也非常重视监控他们所使用的基于云的服务。包括Office 365和其他的服务。...SaaS - 像Office 365,Salesforce这样的服务 PaaS - 开发人员友好的服务,如SQL数据库,缓存,存储等 IaaS - 由Azure,AWS,Digital Ocean等云提供商托管的服务器...云监控如何运行 “云”这个术语是指一组网络托管的应用程序,通过网络对数据进行存储和访问,而不是通过计算机的硬盘。...使用一个平台汇报所有的数据 - 除了要监控云服务之外,一些机构可能拥有自己的基础设施。他们需要解决方案能够在单一平台上汇报不同来源的数据,从而可以计算出统一的度量标准并获得综合性能的结果。...请阅读这篇文章,了解如何使用Stackify's Retrace for APM来监控“吵闹”的云邻居和web应用程序。
该域名通常具备以下特征:使用常见TLD(如.com、.net),非高风险后缀;具有正常WHOIS记录,部分甚至启用隐私保护;托管于主流CDN(如Cloudflare)或共享主机,利用其IP信誉规避黑名单...例如,美国用户看到Office 365登录页,德国用户则显示本地化版本:office365.html' : 'en_office365.html';// 注入会话令牌与回传地址$content = file_get_contents($template);$content...4.2 地理与自治系统(AS)级访问控制鉴于QRR利用合法托管商,建议在身份提供商(如Azure AD)中实施条件访问策略:限制非企业常用国家/地区的登录;阻止来自高风险AS(如已知僵尸网络C2所在IP...编辑:芦笛(公共互联网反网络钓鱼工作组)
在自适应企业中实现整合 在现代企业中,很难看到统一整个环境的单一整体应用程序。...API管理 在云中公开API实施基于策略的安全性和访问控制利用缓存/审计/分析/等。...API 实施基于策略的安全性和访问控制 利用缓存/审计/分析/等。...Power Apps 开发设备的内部应用程序利用内置连接器 +与Flow / SharePoint /轻松集成 Dynamics 365 /团队/等+多平台*需要Office365 Power...Apps 开发设备的内部应用程序 利用内置连接器 +与Flow / SharePoint /轻松集成 Dynamics 365 /团队/等 +多平台 *需要Office365Power BI
(OWA) 交换网络服务 (EWS) Exchange ActiveSync (EAS) 所有这些服务都创建了一个攻击面,威胁参与者可以通过进行可能导致发现合法凭据、访问用户邮箱和执行域升级的攻击而受益...如果 EWS 不能满足特定的业务需求,则应禁用访问。从 Exchange 命令行管理程序执行以下命令将禁用对所有邮箱的访问。...禁用 Exchange Web 服务 (EWS) 的身份验证将阻止攻击。 同样,禁用跨组织的 Exchange Web 服务邮箱访问将产生相同的结果。...Exchange API 调用(推送订阅)来执行域升级的威胁参与者。...完全禁用 EWS 身份验证还将进行 NTLM 中继攻击,这些攻击将作为目标在不破解密码哈希的情况下获取对用户邮箱的访问权限。
EWS完成了一下几个目的:•提供Exchange资源的统一访问;•内置了与Outlook一致逻辑层;•给予web Service标准;•可远程访问。...EWS集成了原来WebDAV和CODEX的功能,它提供的相关功能使实现日程安排等操作非常容易,EWS是基于SOAP协议的XML Web Service,这使它可以被发送HTTPS请求的任何操作系统远程访问...EWS是非常高效的Exchange资源访问接口,如果我们采用引用Web Service服务的方法来生产代理类访问EWS,这个可能是一个不好的方法,因为代理类是协议的直接映射,并且自动生成的代码使用起来非常不方便...为了解决这些使用和维护的问题,微软在2009年10左右推出了Microsoft Exchange Web Services(EWS) Managed API。...它是一个完全面向对象的API,就和.Net Framework类库一样,它基于WES XML协议,提供了非常容易学习、使用和维护的EWS.Net开发接口。
Analytics的JavaScript跳转(托管于Firebase)→ 最终钓鱼页面(托管于GitHub Pages,路径如 /login/microsoft/)每一跳均使用不同IP、域名与TLS证书...日志割裂:重定向各环节日志分散于不同服务商,缺乏统一关联分析能力。因此,亟需构建纵深、协同、智能化的防御体系。...All Users" `-Conditions @{Users = @{ IncludeAll = $true }Applications = @{ IncludeApplications = @("Office365...Office文档中的宏或嵌入链接;在SharePoint与OneDrive中默认关闭“任何人可访问”共享选项;对来自未知域的PDF/DOCX文件强制在隔离环境中渲染。...编辑:芦笛(公共互联网反网络钓鱼工作组)
下面我们来看看它是如何工作的,以及使用它走向成功的必经之路。 云监控的类型 有多种类型的云服务要监控。云监控不仅要监控像在AWS或Azure上托管的服务器。...对于企业来说,他们最关心的还是监控他们正在使用的云服务(如微软的Office 365等)。...SaaS - 类似Office 365与Salesforce等服务; PaaS - 对开发人员友好的服务,如SQL数据库,缓存,存储等; IaaS - 由Azure,AWS,Digital Ocean等云提供商托管的服务器...云监控的工作方式 “云”是指一组网络托管的应用程序。与传统的程序不同,这些程序并不通过硬盘,而是通过Internet存储和访问数据。...对于普通消费者来说,使用互联网查看网页、访问诸如Gmail等邮件服务以及使用Dropbox存储文件即是典型的云计算。
2025年披露的一起针对Nifty.com基础设施的滥用事件,揭示了攻击者如何通过该平台的子域托管与URL重定向功能,构建具有高度欺骗性的钓鱼页面,成功绕过主流安全检测机制。...本文聚焦于此次Nifty.com滥用事件,旨在回答以下核心问题:(1)攻击者如何利用Nifty.com的合法功能构建钓鱼基础设施?(2)其采用的技术手段如何规避现有安全检测?...href="https://r1.res.office365.com/auth/1.0/content/images/favicon.ico">/* 完整复制Office 365登录页CSS...5.3 用户教育与流程优化二次确认机制:对来自协作平台的登录请求,强制通过MFA或短信验证;内部链接白名单:限制员工仅能访问预批准的Nifty项目子域;模拟钓鱼演练:定期使用类似Nifty链接进行红队测试...编辑:芦笛(公共互联网反网络钓鱼工作组)
/Exchange.asmx /EWS/Services.wsdl /EWS/ /OAB/ /Mapi API接口 说明 /autodiscover 自 Exchange Server 2007 开始推出的一项自动服务...因此,并不推荐使用。 2、通过 Exchange Web Service(EWS) 通过EWS接口,可以实现客户端与服务端之间基于HTTP的SOAP交互。...1、邮箱托管 Exchange 邮件服务存在一种机制,可以设置权限将邮箱委托给指定用户管理使用。 这种委托可以是全局的委托,可以通过后台修改;也可以是对单独文件夹进行委托,用户自行对文件夹设置。...在默认情况下,某些管理员在配置时,组用户会默认拥有对组内用户的委托管理权限。...Outlook 是 Office 办公软件中用于管理电子邮件的专用软件,Exchange 邮箱用户使用Outlook 进行邮件管理可以体验 Exchange 专用的各种功能,也是应用非常广泛的办公软件之一
PhishPoint是一种新型的SharePoint钓鱼攻击,在过去的两周内,大约有10%的Office 365用户受到了这种攻击的影响。...安全专家警告称,已经有很多网络诈骗份子开始使用这种新型的攻击技术来绕过目前大多数电子邮件服务商所部署的高级威胁保护(ATP)机制了,其中受影响的就包括Microsoft Office 365在内。...PhishPoint是一种升级版的网络钓鱼攻击,攻击者主要利用电子邮件和SharePoint来收集终端用户的Office 365凭证信息。...在攻击的过程中,攻击者会使用SharePoint文件来托管钓鱼链接,通过向SharePoint文件插入恶意链接(而不是向电子邮件中插入),攻击者将能够绕过Office365的内置安全机制。”...这个SharePoint文件的内容会伪装成一种标准的OneDrive文件访问请求,其中会包含一条“访问文档”超链接,而这个超链接实际上是一条恶意URL,它会将用户重定向到一个伪造的Office 365登录页面
摘要近年来,针对Microsoft 365(原Office 365)生态系统的网络钓鱼攻击呈现高发态势,传统依赖邮件网关与服务器端策略的防护手段已难以应对通过短信、社交媒体、语音通话等非邮件渠道传播的恶意链接...关键词:网络钓鱼;Microsoft 365;浏览器扩展;纵深防御;开源安全;托管服务提供商1 引言Microsoft 365作为全球部署最广泛的云生产力平台,已成为高级持续性威胁(APT)与大规模自动化攻击的首要目标...无法防御高度定制化钓鱼页:若攻击者使用全新域名且页面不含关键词,仅靠内容特征可能不足。无Graph API集成:当前版本不自动撤销会话或令牌,需管理员手动响应。...禁用旧式认证协议:如Basic Auth、IMAP/POP3,防止凭证被直接用于API调用。配置条件访问策略:限制登录地理位置、设备合规性。...编辑:芦笛(公共互联网反网络钓鱼工作组)
例如,针对Outlook用户的钓鱼邮件常包含以下特征:主题行:“您的邮件已被隔离 – 需要您确认释放”正文引用Microsoft Defender for Office 365的真实隔离策略编号按钮样式复刻...典型流程如下:用户在钓鱼页面输入凭据;攻击脚本实时将凭据转发至真实登录接口,完成身份验证;获取有效的会话Cookie或OAuth 2.0访问令牌;直接注入浏览器或API调用,绕过MFA校验。...5.2 多云环境的策略统一大型企业常同时使用Microsoft 365与Google Workspace,需确保安全策略一致性。...可通过SCIM协议同步用户属性,利用第三方IAM平台(如Okta、Ping Identity)统一实施条件访问规则,避免策略碎片化。...编辑:芦笛(公共互联网反网络钓鱼工作组)
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
