文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

摘要近年来,针对Microsoft 365(原Office 365)生态系统的网络钓鱼攻击呈现高发态势,传统依赖邮件网关与服务器端策略的防护手段已难以应对通过短信、社交媒体、语音通话等非邮件渠道传播的恶意链接...OAuth滥用:攻击者诱导用户授权一个看似无害的第三方应用(如“PDF Viewer”、“Calendar Sync”),该应用请求过度的API权限(如Mail.ReadWrite, Calendars.ReadWrite...一旦授权,攻击者即可通过合法API令牌访问用户邮箱、日历等资源,规避传统邮件监控。这两种攻击均可通过非邮件渠道发起,使得基于邮件内容的过滤器形同虚设。...:提供邮件级URL过滤与恶意附件检测。...无法防御高度定制化钓鱼页:若攻击者使用全新域名且页面不含关键词,仅靠内容特征可能不足。无Graph API集成:当前版本不自动撤销会话或令牌,需管理员手动响应。

25210

ClickFix攻击的多载体演化与凭证窃取闭环机制研究

在成功窃取Microsoft 365或Google Workspace凭证后,攻击者迅速部署转发规则、注册高权限OAuth应用,并在活跃会话中植入商业电子邮件欺诈(BEC)指令,形成从初始访问到资金转移的完整攻击闭环...本文进一步提出多层次防御策略,包括OAuth应用审批控制、含链接附件沙箱化检测、移动端URL预览增强及硬件密钥强制认证等技术措施,并通过代码示例验证其可行性。...这一设计巧妙规避了终端防病毒软件对直接下载或执行行为的监控,将用户转化为攻击链中的主动参与者。早期ClickFix活动主要依赖单一邮件渠道,使用静态HTML页面进行投递。...2.1 邮件附件载体扩展除常规HTML文件外,攻击者广泛使用PDF文档作为初始载体。此类PDF并非携带恶意脚本(因现代阅读器已禁用JS执行),而是内嵌超链接指向ClickFix页面。...4.2 BEC指令注入与资金欺诈在维持会话的同时,攻击者监控收件箱中的财务相关邮件(如发票、付款请求)。一旦发现机会,即以合法用户身份回复,插入修改收款账户的指令。

20810
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

    当受害者点击邮件中的链接时,并非直接访问文件,而是被引导至一个由攻击者控制的中间人代理服务器。...数据窃取:搜索敏感合同、客户名单或知识产权文档,并通过加密压缩包等形式外传。横向移动:利用受害者的联系人列表,发送带有恶意附件或链接的邮件。...应用程序控制:限制仅允许受保护的浏览器或特定的客户端应用访问Office 365服务,防止攻击者使用自动化脚本或不受控的浏览器插件注入Cookie。...}/auditLogs/directoryAudits" # 简化示例,实际应使用unifiedAuditLogs# 注:Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志(实际部署中需处理分页和API限流)。

    11310

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    研究发现,此类攻击普遍利用合法协作平台(如Microsoft 365、Google Workspace)作为初始入口,并通过OAuth滥用或会话令牌窃取绕过多因素认证。...(2.2)恶意文档投递与初始访问附件多为伪装成PDF或Word文档的HTML文件,或嵌入恶意宏的Office文档。...近期变种更倾向使用ISO或LNK文件绕过邮件网关:# 恶意LNK文件执行PowerShell下载器%windir%\System32\WindowsPowerShell\v1.0\powershell.exe...、协作平台使用频率),检测异常:若某议员账户在凌晨3点从境外IP访问并创建邮件转发规则,触发告警;若短时间内向大量非联系人发送含附件邮件,疑似被控为跳板。...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。

    20410

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...Proofpoint报告显示,其前期侦察极为精准:使用已被攻陷的真实政府/军方邮箱作为发信源,提升可信度;邮件内容围绕目标专业领域展开“良性互动”,如邀请乌克兰能源专家参与“欧盟能源转型圆桌”;虚构会议...邮件安全网关:钓鱼邮件来自真实邮箱,内容无恶意附件或链接(指向的是微软官方域名),难以拦截;MFA:用户确实在微软官网完成了交互式登录,MFA已通过;SIEM/SOAR:后续的API调用(如读取邮件)来自微软数据中心...芦笛强调,“除非你有大量IoT设备接入Office 365,否则应默认关闭。”若因业务需要必须保留,可采用“白名单”策略,仅允许特定用户组、IP段或操作系统使用。

    18210

    案例分析:利用OAuth实施钓鱼

    业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。...互联网很多服务如Open API,很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。...上图为Office365中允许API进行邮件读写删除的授权 一旦设置好链接,就可以通过邮件进行发送了。...以Office365为例,在这例中,我们拥有足够的权限来操作邮件服务。 ? ? ? 如上图,我们可以查看用户的邮件,当然我们也能以用户的身份对外发送邮件。 如果你要撤销此类授权怎么办?...这就需要你到Office 365的配置中,找到相关应用,点击取消授权,就可以成功撤销授权了。

    2.4K90

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...2025年8月,Proofpoint披露了一起大规模钓鱼活动,攻击者使用Tycoon Phishing-as-a-Service平台创建了超过50个假冒Microsoft 365应用,伪装成Adobe...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...2.4 攻击隐蔽性与影响绕过MFA:因使用刷新令牌,无需再次认证;规避EDR/邮件网关:无恶意附件或可疑URL;供应链渗透:若受害者为供应商员工,可进一步攻击其客户;勒索前置:批量下载敏感邮件与文件,为后续勒索提供素材

    24410

    面向Microsoft 365的新型钓鱼工具包技术剖析与防御策略研究

    传统钓鱼攻击依赖静态伪造页面,易被URL信誉系统或邮件网关拦截。然而,近年来以“钓鱼即服务”(Phishing-as-a-Service, PhaaS)模式运作的商品化工具包大幅降低了攻击门槛。...商品化PhaaS工具如Raccoon Stealer、VoidProxy引入了模块化设计与远程管理面板,但主要针对通用网站(如银行、社交平台),对Microsoft 365这类采用OAuth 2.0与Entra...client_id=......');});(四)会话利用攻击者利用获取的Refresh Token通过Microsoft Graph API访问邮箱、OneDrive等资源,实现持久化控制。...五、防御策略设计(一)强化身份验证强制FIDO2安全密钥:在Azure AD中配置策略,要求所有用户使用硬件密钥(如YubiKey)登录。FIDO2基于公钥加密,私钥永不离开设备,彻底杜绝凭证钓鱼。

    19810

    PwnAuth——一个可以揭露OAuth滥用的利器

    大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。在本例中,应用程序可能会请求访问OneDrive文件和用户配置文件。...三、滥用漫延 OAuth应用程序提供了一个理想的载体,攻击者可以通过它攻击目标并获取电子邮件、联系人和文件等机密数据。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...Office 365模块本身可以进一步扩展,但目前提供以下功能: · 阅读邮件 · 搜索用户的邮箱 · 读取用户的联系人 · 下载消息和附件 · 搜索OneDrive并下载文件 · 代表用户发送消息 界面设计很直观和友好...目前有一个脚本可以调查Office 365占用者并计划添加其他云环境。 六、总结 OAuth滥用攻击是一种危险且非传统的网络钓鱼技术,攻击者可利用此技术获取企业的机密数据。

    2.5K20

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    OAuth 2.0作为现代身份联合与资源授权的标准协议,在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作,即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...典型伪装策略包括:应用名称模仿官方工具:如“Microsoft Secure Access”、“Entra Verify Tool”;使用微软品牌图标:上传与Office 365相似的SVG或PNG图标...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    27010

    基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

    这些内容均来自M365真实通知模板,且常通过移动端推送(如Outlook App通知)增强紧迫感。邮件HTML中嵌入真实Microsoft Logo与CSS样式,提升视觉可信度。...2.2 登录门户伪装与反向代理恶意登录页通常托管于两类位置:被攻陷的合法域名:如某合作方网站遭入侵,子域office....获得有效会话后,攻击者通过Graph API注册恶意OAuth应用:POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...2.4 内部横向与隐蔽通信攻击者创建邮件规则自动转发含“合同”“付款”“发票”等关键词的邮件至外部地址,并删除原邮件以规避察觉。...应转向情境化训练:演示如何检查浏览器地址栏中的根域名(如login.microsoftonline.com而非microsoft-office.com);教育用户:MFA推送不应在无主动登录时出现;推广

    23610

    “ClickFix”钓鱼攻击全面升级:多载体投递+智能伪装,企业凭证安全拉响新警报

    ——殊不知,这行命令会悄悄下载并执行信息窃取木马(如DeerStealer或Odyssey),直接盗取Microsoft 365、Google Workspace等办公平台的登录凭证。...情报显示,他们在数分钟内就会执行一系列自动化操作:创建邮件转发规则:将敏感邮件悄悄抄送至外部邮箱;注册恶意OAuth应用:利用合法API权限持续访问用户数据,绕过多因素认证(MFA);插入BEC(商务邮件诈骗...,定期审查已授权应用权限,遵循“最小权限原则”;沙箱化可疑附件:对含链接的PDF、HTML及日历文件进行动态行为分析,阻断跳转至已知恶意域名;移动端安全增强:在邮件和IM客户端中启用URL预览与高危域名高亮功能...攻击者只需在图形化界面中填写目标品牌、C2地址和载荷类型,即可一键生成高度仿真的钓鱼页面。这种“钓鱼即服务”(Phishing-as-a-Service)模式,大幅降低了犯罪门槛。...Palo Alto Networks等厂商已通过AI模型更新WildFire引擎,可识别ClickFix页面的DOM结构特征与JavaScript行为;微软Defender for Office 365

    40810

    尼日利亚突袭“RaccoonO365”钓鱼工厂:一场跨国围剿与MFA防线的生死考验

    行动目标明确:端掉一个代号为“RaccoonO365”的网络钓鱼即服务(Phishing-as-a-Service, PhaaS)运营团伙。...(3)Telegram驱动的“钓鱼即服务”商业模式RaccoonO365并非仅供内部使用,而是一个面向黑产市场的SaaS平台。...# 通过Microsoft Graph API强制用户注册FIDO2密钥(示例)Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod...Microsoft Defender for Office 365提供多项高级防护功能:URL重写与点击时检测:即使钓鱼链接躲过初次扫描,用户点击时仍会被拦截;附件沙箱分析:对可疑Office文档进行行为监控...;ASR规则:阻止Office应用加载外部内容、禁用宏等。

    16210

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    更关键的是,它直击当前Office 365钓鱼攻击的几大核心手法——比如自动转发规则、恶意OAuth应用授权、异常登录行为等,让攻击者“刚进门就被踢出去”。...公共互联网反网络钓鱼工作组技术专家芦笛指出,“而Microsoft 365因其广泛使用和强大API能力,成了攻击者的首选目标。”...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。

    16810

    钓鱼邮件“精准制导”升级:Outlook与Gmail成重灾区,企业身份防线告急

    场景1:线程劫持——伪装成对话延续攻击者首先通过信息泄露或撞库获取某员工的邮箱凭证,登录后找到一封真实的内部邮件(如“Q4销售预测讨论”),然后以该员工身份回复:“附件是更新版,请查收。”...所附链接指向一个伪造的OneDrive或Google Drive页面,要求“重新登录以查看文件”。由于邮件处于真实对话线程中,收件人极易放松警惕。...图像化内容规避文本检测越来越多的钓鱼邮件将关键话术(如“立即验证”“账户将被冻结”)以图片形式嵌入,绕过基于关键词的DLP(数据防泄漏)规则。...芦笛警告,“更麻烦的是,部分中小企业仍在使用IMAP/POP3等遗留协议,这些协议不支持现代认证机制,一旦密码泄露,攻击者可直接同步全部邮件。”...建立快速响应机制一键冻结账户:SOC接到报告后5分钟内禁用账号;会话吊销:通过Microsoft Graph API或Google Admin SDK,立即终止所有活跃会话;# Microsoft Graph

    25510

    云邮箱钓鱼攻击趋势与企业防御体系重构

    2 攻击技术演进:从广撒网到精准诱骗2.1 社会工程话术的平台适配早期钓鱼邮件常使用“账户异常”“安全警告”等通用话术,但随着用户安全意识提升,此类模板识别率显著提高。...例如,针对Outlook用户的钓鱼邮件常包含以下特征:主题行:“您的邮件已被隔离 – 需要您确认释放”正文引用Microsoft Defender for Office 365的真实隔离策略编号按钮样式复刻...4.2 协议层:禁用高风险遗留协议IMAP、POP3、SMTP AUTH等协议不支持现代认证机制(如OAuth 2.0),且无法传递设备上下文,成为凭证重放攻击的主要入口。企业应全面禁用此类协议。...例如,PDF文件移除JavaScript与外部链接;Office文档清除宏与ActiveX控件。CDR确保即使恶意内容绕过检测,也无法执行。...同时,保留备用认证方式(如FIDO2+短信),避免单点故障导致业务中断。5.2 多云环境的策略统一大型企业常同时使用Microsoft 365与Google Workspace,需确保安全策略一致性。

    22510

    “ClickFix”钓鱼套件横扫企业邮箱:伪装IT支持,专骗账号密码

    研究人员在Help Net Security等平台发布的报告中指出,该工具包具备四大核心能力:动态品牌换肤:能根据目标邮箱后缀(如@company.com)自动切换为对应的Microsoft 365或Google...:不再依赖普通附件,而是通过HTML文件、日历邀请(.ics)甚至OneNote嵌入链接等方式投递,规避传统邮件安全系统的URL扫描;基础设施共享:多个攻击团伙共用同一套后台管理面板与域名注册模式,表明其背后存在成熟的...他说,“再加上页面看起来和平时登录Office 365一模一样,大脑会自动跳过验证步骤,直接输入密码。”...芦笛指出几个关键漏洞点:HTML附件未被深度解析:多数邮件系统默认允许HTML附件,而“ClickFix”常将钓鱼链接藏在看似无害的“error_report.html”文件中。...开展针对性钓鱼演练:不仅测试普通邮件,还要覆盖日历邀请、移动端通知、HTML附件等新兴攻击载体,提升全员“肌肉记忆”。

    21810

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。.../v2.0/token",data={"grant_type": "urn:ietf:params:oauth:grant-type:device_code","client_id": CLIENT_ID...但设备代码钓鱼邮件往往只包含一段文字:“请复制以下代码到 https://microsoft.com/devicelogin 完成验证”,无链接、无附件、无恶意域名,极难被拦截。...(如非常规地理位置、高频API调用);使用Microsoft Defender for Cloud Apps设置异常活动告警,如“单用户1小时内下载10GB OneDrive数据”。

    17310

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    一旦用户输入代码并点击“下一步”,系统会要求其使用 Microsoft 365 账户登录——此时 MFA 可能被触发,用户收到短信或 Authenticator 推送通知,并完成验证。...授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...Proofpoint 报告显示,此次攻击已波及金融、制造、物流等多个行业,部分企业因未及时发现,导致内部邮件被窃取、供应链信息泄露,甚至被用于二次钓鱼攻击合作伙伴。..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近10封邮件...Proofpoint 发现,部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行,IP 地址来自正常办公区域(攻击者使用代理或已控跳板机),行为模式与日常办公高度相似。

    32110

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...实验表明,使用LLM定制的钓鱼邮件打开率较模板化邮件提升3.2倍,点击率提升2.7倍(Cisco Talos, 2025)。...典型路径如下:钓鱼获取员工凭证(含MFA绕过,如MFA疲劳攻击);登录云控制台(如Azure AD、AWS IAM);枚举高权限账户或服务主体;申请或窃取OAuth令牌/会话Cookie;通过Graph...攻击者购得凭证后,通常在24小时内完成以下操作:使用az login --service-principal或gcloud auth activate-service-account登录云环境;通过Get-MgUser...4.4 管理层:文化与流程重塑部署对话式钓鱼模拟:不同于传统一次性测试,采用持续性、上下文感知的模拟(如模拟IT部门在Teams中询问“是否收到安全更新邮件?”),提升员工警惕性。

    25610
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券