无法识别通过powershell的Microsoft Graph API查询参数 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

研究表明，仅依赖传统邮件安全网关无法有效识别此类“寄生式”攻击，必须从身份平台治理层面重构安全边界。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1650 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...该机制极大提升了用户体验，但也引入了新的攻击面：若用户被诱导授权一个恶意应用，攻击者即可绕过所有基于密码和MFA的验证环节，直接通过合法API接口操作账户。...、redirect_uri、scope等参数；用户输入凭证并完成MFA；显示OAuth同意页面：列出所请求的权限（如“读取你的邮件”）；用户点击“同意”：Microsoft颁发授权码；第三方应用用授权码换取访问令牌...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2441 0

您找到你想要的搜索结果了吗？

是的

没有找到

微软揭露针对以色列的 POLONIUM 组织攻击活动

使用该 OAuth Token 就可以向 Microsoft Graph API 请求（https://graph.microsoft.com/v1.0/me/drive/root:/Documents...请求结构为：https://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。...通过 OneDrive 下载文件，请求结构为https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。...数组中的每个值都单独作为参数传递给以下自定义函数，该函数使用 Invoke-Expression cmdlet 运行命令： △自定义函数每个命令的执行结果都会收集起来，发送到 OneDrive 上的以下位置...△CreepySnail PowerShell 代码公共工具的使用 POLONIUM 通过 OneDrive 下载了一个辅助程序 plink，这是一种常见的自动化交互式 SSH 工具。

1.7K2 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...实验验证表明，所提方案可有效识别并阻断90%以上的高风险OAuth同意请求，显著降低企业云环境中的数据泄露风险。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...Graph 查询示例：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization: Bearer Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

2371 0

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

据Bleeping Computer网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell...【含恶意脚本的PPT文件】感染链来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档"并且将鼠标悬停在超链接上时，会激活恶意 PowerShell 脚本并从 Microsoft...Graphite 滥用 Microsoft Graph API 和 OneDrive ，与命令和控制 (C2) 服务器通信。...【Graphite 使用的固定客户端 ID】研究人员解释说，使用新的 OAuth2 令牌，Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI...“如果找到新文件，则下载内容并通过 AES-256-CBC 解密算法解密，恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

1.5K2 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

其标准流程如下：用户访问第三方应用（Client）；Client重定向用户至授权服务器（如Microsoft Entra ID）的授权端点，携带client_id、redirect_uri、scope等参数...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2811 0

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

这种依赖客户端渲染环境的反检测手段，使得静态内容扫描难以识别恶意意图。（三）凭证捕获：实时中继与MFA绕过用户点击链接后，被重定向至一个高度仿真的Microsoft 365登录页面（见图1）。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...首先，邮件网关依赖静态特征匹配与信誉评分，难以识别使用新注册域名、合法CDN服务且内容高度定制的钓鱼邮件。其次，MFA虽能防止密码复用攻击，但无法抵御AiTM式的实时中继。...可集成Zscaler Private Access或Cloudflare Browser Isolation，并通过KQL查询识别高风险邮件：// KQL: 检测含OneDrive链接但发件域异常的邮件...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization

2241 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...Microsoft Entra ID已支持此功能，可通过条件访问策略强制：# Azure AD PowerShell: 要求FIDO2且禁止非托管设备New-AzureADMSConditionalAccessPolicy...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。即使攻击者窃取Access Token，也无法在其他连接中使用。...本文通过剖析其技术实现，指出单纯依赖第二因子无法解决会话令牌泄露问题，并提出以FIDO2绑定、短周期令牌、DPoP与风险驱动响应为核心的防御框架。

2371 0

Red-Team-Tools开源C2开发后框架列表

APfell是一个跨平台,可识别 OPSEC的红色团队,利用后的C2框架,使用python3,docker,docker-compose和Web浏览器UI构建.它旨在为操作员,管理人员和基于Mac OS...服务来建立C2通信通道.它使用Microsoft Graph API与O365服务进行通信. https://github.com/3xpl01tc0d3r/Callidus 5....灵活性和团队合作精神.其针对API的设计为通过任何文件记录良好的REST和Socket.IO API与可以说其语言的任何代理之间的任何传输方法进行安全通信提供了基础.目前,Faction仅支持.NET负载和模块...开发后框架具有基于角色的访问控制系统,可以使用SQL查询来查询数据！...Merlin是一个跨平台的利用后HTTP / 2 C2服务器和用Golang编写的代理.通过使用现有工具无法理解或检查的协议,它可以帮助您在渗透测试/红色团队练习中规避网络检测.Merlin Server

3.7K1 0

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

获得有效会话后，攻击者通过Graph API注册恶意OAuth应用：POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application...3 现有防护机制的局限性当前企业普遍采用以下措施，但在面对上述攻击时存在明显短板：邮件网关过滤：难以识别托管于合法云服务的钓鱼页；用户安全意识培训：无法克服“生产力惯性”下的自动化响应；基础MFA启用：...4.2 阻断遗留协议通过Exchange Online PowerShell禁用不安全协议：Set-CASMailbox -Identity user@company.com -ImapEnabled...4.4 统一日志与异常检测利用Microsoft 365统一审计日志，编写KQL查询检测可疑活动：AuditLogs| where Operation in ("Add service principal...用户教育需从“识别恶意”转向“验证正常”，强调对根域名、证书与认证上下文的主动核查。值得注意的是，没有任何单一控制能完全杜绝此类攻击。

2281 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...而CyberDrain的工具，本质上是一组自动化剧本（Playbooks），通过合法API权限主动“体检”整个租户。...不过，工具也有门槛：部署者需具备一定的PowerShell或Python脚本能力，并为服务账号配置适当的Graph API权限（如AuditLog.Read.All、Directory.Read.All

1591 0

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

文中通过 Python 与 Microsoft Graph Security API 的代码示例，展示如何实现异常登录行为的自动化检测与响应。...3 哈佛事件的技术还原与失效点分析3.1 攻击路径重建基于公开信息与行业通用攻击模式，可推断攻击流程如下：侦察阶段：攻击者通过 LinkedIn、大学官网等渠道识别目标部门（如校友事务办公室）员工；初始接触...Microsoft Entra ID 中的策略配置示例（PowerShell）：Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"$...4.2 检测层：基于行为的异常识别即使攻击者获得凭证，其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外，通过 Graph API 监控，我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件，验证了检测机制的有效性。

2290 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

由于涉及本地进程操作，传统EDR（端点检测与响应）系统可通过行为监控识别异常。然而，随着终端安全能力的增强，攻击者开始寻求“无端点接触”（endpoint-less）的攻击路径。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（三）规避检测的关键设计ConsentFix之所以难以被发现，源于其多重规避特性：无密码交互：不触发密码爆破、撞库或凭证填充告警；合法IdP流量：所有OAuth请求均经由微软官方端点，无法通过IP或域名黑名单拦截...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1871 0

基于多智能体协作的AI驱动安全运营框架研究

研究表明，AI代理并非替代人类分析师，而是通过增强其意图表达与执行效率，重构安全运营的工作范式。...例如，从Exchange邮件头中解析发件人域名、URL、附件哈希；从EDR日志中识别进程树异常。...分析智能体（Analysis Agent）：调用威胁情报平台（如Microsoft Threat Intelligence, VirusTotal API）、沙箱（如Azure Sandbox）及内部知识图谱...3.1 环境配置平台：Microsoft 365 E5 + Defender for Office 365工具：PowerShell for Microsoft Graph, Python 3.11,...未来，随着意图识别精度的提升与人机交互模式的优化，“自然语言即操作界面”将成为SOC的新常态。但无论技术如何演进，安全的核心始终是人在环路（Human-in-the-Loop）的判断与责任归属。

4371 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

研究发现，此类攻击普遍利用合法协作平台（如Microsoft 365、Google Workspace）作为初始入口，并通过OAuth滥用或会话令牌窃取绕过多因素认证。...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门：POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...调用框架内完成，难以被传统日志监控识别。...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。

2001 0

SPN服务主体名称发现详解

在内部网络中，SPN扫描通过查询向域控制器执行服务发现。这对于红队而言，可以帮助他们识别正在运行重要服务的主机，如终端、交换机、微软SQL等，并隐藏他们。...此外，SPN的识别也是kerberoasting攻击的第一步。 Tim Medin在他的Kerberos攻击演讲中很好地解释了SPN。...GetUserSPNs Tim Medin开发了一个PowerShell脚本，它是kerberoast工具包的一部分，可以帮助我们查询活动目录，以发现仅与用户帐户相关联的服务。...这些脚本是PowerShell AD Recon存储库的一部分，可以在Active Directory中查询服务，例如Exchange，Microsoft SQL，Terminal等。...但是，无法使用基于token的身份验证，因此与Active Directory进行通信需要获取有效的域凭证。 .

3.4K0 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

由于整个授权过程完全发生在微软官方域名下，传统基于URL识别的钓鱼检测机制失效，且多数用户无法区分“授权第三方应用”与“系统安全验证”的本质差异。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...研究表明，仅靠用户意识无法抵御此类高度仿真的钓鱼手段，必须通过Azure AD的精细化权限管理与条件访问策略重构OAuth授权的信任边界。

1911 0

域渗透技巧

其中一些需要PowerShell v2.0的环境，还有一些则需要PowerShell v3.0环境。...通过检验注册表里[HKEY_USERS的key](http://technet.microsoft.com/en-us/sysinternals/bb897545.aspx)值来查询谁登陆过机器，同样也调用到了...NetSessionEnum API。...，查询非约束委派主要是通过搜索userAccountControl属性包含ADS_UF_TRUSTED_FOR_DELEGATION的主机或账户。...手法：通过修改注册表的方式添加组策略 reg add hklm\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v AllowDefaultCredentials

1.6K2 1

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

而此次攻击巧妙规避了这两点：无恶意内容：邮件仅含文字和电话号码，无可疑链接或附件；发件人合法：no-reply@teams.mail.microsoft.com 是微软真实通知通道，无法被拉黑。...以下是一段简化版的PowerShell命令，用于从伪装站点下载并静默执行远程工具：# 伪装为“微软安全更新”$uri = "https://update-microsoft-support[.]xyz/...邮件层：增强Teams通知监控限制Teams外部邀请：在Microsoft 365管理中心配置策略，禁止非组织成员创建团队或邀请用户；监控异常团队命名：通过Microsoft Graph API定期扫描团队名称...，识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体；# 示例：通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups...：监控非常规时间启动的远程会话、异常进程树（如powershell → anydesk.exe）。

1861 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

微软揭露针对以色列的 POLONIUM 组织攻击活动

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

鼠标悬停也能中招！带毒PPT正用来传播Graphite恶意软件

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

VoidProxy平台对多因素认证的绕过机制与防御对策研究

Red-Team-Tools开源C2开发后框架列表

基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于多智能体协作的AI驱动安全运营框架研究

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

SPN服务主体名称发现详解

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

域渗透技巧

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

推荐一个企业级知识图谱增强的检索增强生成(RAG)的项目

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐