文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

2025年披露的新型钓鱼活动表明,攻击者不再直接发送含恶意域名的邮件,而是先控制一个合法Microsoft 365账户,利用其创建真实的共享链接,再通过页面内嵌元素引导用户至仿冒登录界面。...2 攻击链技术实现分析2.1 初始阶段:利用合法账户创建可信共享攻击者首先通过先前窃取的凭证(可能来自撞库、OAuth钓鱼或旧泄露数据)登录一个真实的Microsoft 365账户。...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...以下为基于Microsoft Purview审计日志的异常共享检测逻辑:import pandas as pd# 假设audit_logs为从Microsoft 365获取的共享事件列表df = pd.DataFrame...会话的User-Agent、IP、地理位置是否与共享创建者一致?通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。

31310

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...可编写脚本每日比对已知可信应用列表,自动调用撤销接口:def revoke_consent(grant_id, admin_token):url = f"https://graph.microsoft.com

24010
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    这些攻击不仅绕过了基于URL黑名单、邮件网关过滤和沙箱检测的传统防护机制,还通过模拟微软原生认证流程(如MFA验证码交互),显著提升了欺骗成功率。...更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...攻击者一旦获取低权限账户(如通过撞库或泄露凭证),即可创建看似合法的共享项,并设置短时效访问控制,进一步规避基于长期URL监控的威胁情报系统。...可通过Microsoft Defender for Cloud Apps或自建SIEM系统监控以下行为:非常规时间访问SharePoint HTML资源单一用户短时间内多次访问不同共享链接共享链接创建者与内容类型不匹配...(如普通员工创建大量登录页面)以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项:import requestsimport jsondef detect_suspicious_sharing

    24810

    云邮箱钓鱼攻击趋势与企业防御体系重构

    摘要近年来,随着企业办公全面向云端迁移,Microsoft Outlook 与 Google Gmail 等主流云邮箱平台成为网络钓鱼攻击的主要目标。...关键措施包括:自动化会话吊销:通过API批量注销用户所有活动会话;凭据紧急重置:强制更改密码并撤销刷新令牌;行为回溯:利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例:import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers = {"Authorization": f"Bearer...企业需认识到:邮箱安全的本质是身份安全,唯有将认证、授权、审计深度融入业务流程,方能抵御日益复杂的云原生威胁。编辑:芦笛(公共互联网反网络钓鱼工作组)

    22110

    Exchange漏洞攻略来啦!!

    三、获取全局通讯录 GlobalAddressList 在获得一个有效账户后,为了长期控制,或者更全面的控制,一般会选择获取邮箱全部邮件地址列表,即全局通讯录GlobalAddressList。...,因此通过其他手段直接获取域用户列表,也可以同步获得邮箱用户列表。...因此,当 ecp 可登录且拥有管理员权限时,就可以通过添加邮箱委托的方式,实现邮箱控制。在默认情况下,某些管理员在配置时,组用户会默认拥有对组内用户的委托管理权限。...在指定用户文件夹下添加共享文件用户。 2、邮箱管理员 在 ecp 中也可以实现添加邮箱管理员权限。 注:域管 administrator 默认为邮箱管理员,但邮箱管理员和域管其实并无关系。...Outlook的主机上,要么位于主机可访问到的位置(如内网共享文件夹、WebDAV目录下等); Ruler也提供了利用上述规则和通知功能,可以通过命令行创建规则、发送邮件触发规则。

    9K20

    议会邮箱成“数字前线”!英国议员频遭高精度鱼叉钓鱼,国家级黑客正瞄准民主神经中枢

    更值得警惕的是,部分单位仍在使用商业即时通讯工具(如微信、钉钉)处理敏感工作。一旦手机中毒,聊天记录、文件、语音均可被窃取。...英国NCSC已明确建议议员停止在WhatsApp、Signal上讨论公务,转而使用经认证的加密平台(如Microsoft Teams政府版)。此外,国内部分政企单位的邮箱系统仍缺乏行为基线分析能力。...“安全意识不能靠一次培训解决,”芦笛强调,“必须通过高频、低压力的实战演练,让识别钓鱼成为肌肉记忆。”五、代码级防护:如何用Python快速检测可疑转发规则?...以下是一个基于Microsoft Graph API的示例:# check_forwarding_rules.pyimport requestsGRAPH_API_URL = "https://graph.microsoft.com..."ACCESS_TOKEN = "your_app_token_with_mail_read_permissions"def get_inbox_rules(user_email):url = f"{GRAPH_API_URL

    14510

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    在企业邮箱频频成为网络钓鱼“重灾区”的当下,一个好消息传来:知名网络安全社区CyberDrain近日正式发布一款面向中小托管服务商(MSP)和企业的免费开源工具,专门用于检测和阻断Microsoft 365...公共互联网反网络钓鱼工作组技术专家芦笛指出,“而Microsoft 365因其广泛使用和强大API能力,成了攻击者的首选目标。”...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...而CyberDrain的工具,本质上是一组自动化剧本(Playbooks),通过合法API权限主动“体检”整个租户。

    16410

    Office开发者计划-永久白嫖Office365

    (管理员)进行登录),登录之后需要结合提示,手机配合下载Microsoft Authenticator进行权限验证和管理,完成注册之后通过验证则激活成功(后续有关该账号的活动则可通过软件进行授权) 自动续订...,其主要思路为 注册Azure应用程序,申请api 授权项目/程序自动调用账号下的应用api ​ 创建注册应用【在Azure后台仪表盘下申请】,调用Office365 outlook邮箱接口...:证书和密码->添加客户端密码 ​ 确认完成在列表处可以看到生成的记录,点击选择复制值(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门

    11.4K32

    PwnAuth——一个可以揭露OAuth滥用的利器

    访问Microsoft OneDrive轻松进行文件共享的应用程序就是一个利用OAuth的应用程序示例。...攻击者可能会创建恶意应用程序,并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码,并能绕过双因素认证。...通过创建其他模块,应用程序用户界面和框架可以很容易地扩展到其他API资源。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...· 统一审计日志记录用户何时同意第三方应用程序;但是,特定范围和应用程序信息未记录在日志中。 我创建了一组脚本来帮助管理员在云环境中搜索恶意OAuth应用程序。

    2.5K20

    新一轮钓鱼风暴来袭:你的Microsoft 365账户正在被“信任惯性”出卖

    公共互联网反网络钓鱼工作组技术专家芦笛解释道,“一旦微软验证通过,攻击者就能同步获取你的登录状态,甚至包括多因素认证(MFA)生成的一次性验证码或推送确认。”...攻击者会迅速在后台创建隐蔽的邮件收件规则,将包含“付款”“发票”“合同”等关键词的邮件自动转发到外部邮箱,同时在收件箱中隐藏这些操作痕迹。...此外,攻击者还可能注册恶意应用,通过Microsoft Graph API批量导出组织架构、联系人列表和共享文档,为后续的供应链攻击铺路。一家企业的数据泄露,可能迅速波及上下游合作伙伴。...开启统一审计日志与行为分析通过Microsoft Purview或第三方SIEM工具,监控异常登录行为,如短时间内大量邮件导出、频繁失败登录后突然成功、非工作时间活跃等。...》技术分析支持:Cato Networks, Cyber Security News采访专家:芦笛,公共互联网反网络钓鱼工作组技术专家编辑:芦笛(公共互联网反网络钓鱼工作组)

    43510

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...Proofpoint披露,该团伙在2025年11月的一次行动中,通过设备代码钓鱼获取某半导体公司工程师的邮箱权限,进而窃取未公开的芯片设计文档。...API创建新账户;通过Exchange Online PowerShell执行邮箱导出;部署Cobalt Strike Beacon,最终投放勒索软件。...Tool”);定期检查 https://account.microsoft.com/privacy/ 中的应用权限列表。

    16510

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    OAuth 2.0作为现代身份联合与资源授权的标准协议,在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作,即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...该机制极大提升了用户体验,但也引入了新的攻击面:若用户被诱导授权一个恶意应用,攻击者即可绕过所有基于密码和MFA的验证环节,直接通过合法API接口操作账户。...攻击者创建名称高度仿真的OAuth应用(如“Microsoft Teams Verify”、“SecureDoc Review”),并通过钓鱼邮件或协作平台消息诱导用户点击授权链接。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    25210

    钓鱼邮件“精准制导”升级:Outlook与Gmail成重灾区,企业身份防线告急

    2025年12月,全球多家安全机构同步拉响警报:针对Microsoft Outlook和Google Gmail的企业级钓鱼攻击正以空前频率和精度席卷全球。...更令人忧心的是,这些攻击不再依赖粗劣拼写或可疑链接,而是通过线程劫持(Thread Hijacking)、伪共享文档、工单系统模拟等高可信度手法,成功绕过传统邮件网关,直抵员工收件箱。...页面不仅复刻了Microsoft 365登录界面,还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...一旦同意,攻击者即获得访问用户邮箱、日历、联系人的API权限,且该令牌长期有效,难以察觉。...建立快速响应机制一键冻结账户:SOC接到报告后5分钟内禁用账号;会话吊销:通过Microsoft Graph API或Google Admin SDK,立即终止所有活跃会话;# Microsoft Graph

    24810

    伪装成“熟人”的邮件,藏着国家级黑客的陷阱——Callisto组织鱼叉式钓鱼新动向敲响全球媒体安全警钟

    “Jean Dupont”改为“Jean.Dupont.pro”);诱导阶段:发送无害邮件,仅提出模糊请求,等待目标回复;投递阶段:一旦收到回复,立即发送伪造的OneDrive共享链接,指向一个克隆的Microsoft...例如,可通过邮件元数据分析发件IP是否与历史通信模式一致,或结合组织通讯图谱判断该联系人是否真有业务往来。...以Microsoft 365为例,用户登录后,服务器会颁发一个短期有效的访问令牌(Access Token)和一个长期刷新令牌(Refresh Token)。...等关键令牌;使用这些令牌通过Graph API直接操作用户数据。...-0ff1-ce00-000000000000&refresh_token=&grant_type=refresh_token&scope=https://graph.microsoft.com

    25810

    “MFA已过时?”Tycoon 2FA钓鱼套件掀起会话劫持风暴,全球超6万账户沦陷

    根据网络安全平台Any.run发布的2025年威胁报告,该钓鱼套件自2023年8月首次亮相以来,已关联超过64,000起确认事件,成为针对Microsoft 365和Gmail用户的头号威胁。...Graph API创建邮件转发规则或应用密码(App Password);下载通讯录,为后续BEC(商业电子邮件欺诈)做准备;在OneDrive上传Web Shell,建立持久化后门。...攻击者利用教师对“课程资源共享”的高信任度,通过Canva或Dropbox链接投递钓鱼页。一旦得手,便批量申请学生贷款或篡改成绩单。...随着国内企业全面上云,Microsoft 365和Google Workspace用户激增,而MFA部署率也显著提升——这反而可能催生“MFA万能论”的错觉。...2025年第四季度,某华东跨境电商公司安全团队在日志中发现异常:多个高管账户在非工作时间从境外IP发起Graph API调用,但登录记录显示MFA验证成功。

    25610

    寄生在“官方邀请”里的骗局:微软 Entra 访客功能成钓鱼新温床,TOAD 攻击席卷全球企业

    一、攻击拆解:当“合法邀请”成为钓鱼信封要理解此次攻击的危险性,必须先厘清 Microsoft Entra B2B 协作机制的工作原理。在现代混合办公环境中,企业常需与外部合作伙伴共享资源。...企业可通过 Microsoft Graph API 监控可疑邀请行为。...以下是一个基于 PowerShell 的监控脚本雏形:# 获取最近24小时内所有外部邀请$invites = Invoke-MgGraphRequest -Uri "https://graph.microsoft.com...2024年,Google Workspace 共享钓鱼:攻击者创建 Google 文档,设置“仅限特定人访问”,然后通过 Google 的“共享邀请”功能向目标发送邮件。...编辑:芦笛(公共互联网反网络钓鱼工作组)

    15510
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券