文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...而CyberDrain的工具,本质上是一组自动化剧本(Playbooks),通过合法API权限主动“体检”整个租户。...实施条件式访问(Conditional Access)策略:例如,限制仅公司IP或合规设备可访问敏感数据。长期保留审计日志:默认日志仅保留30天,建议通过Azure订阅延长至1年以上,便于事后溯源。

16410
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    2025年披露的新型钓鱼活动表明,攻击者不再直接发送含恶意域名的邮件,而是先控制一个合法Microsoft 365账户,利用其创建真实的共享链接,再通过页面内嵌元素引导用户至仿冒登录界面。...一旦得手,攻击者可立即利用Graph API遍历收件箱,提取包含财务、合同、人事等关键词的邮件线程,自动生成极具欺骗性的横向钓鱼内容,形成指数级扩散。面对此类攻击,仅依赖邮件层防护已显不足。...Graph API遍历收件箱:import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs..." # 从AiTM获取headers...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。例如,若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页,则极可能为钓鱼。

    31410

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    其标准流程如下:用户访问第三方应用(Client);Client重定向用户至授权服务器(如Microsoft Entra ID)的授权端点,携带client_id、redirect_uri、scope等参数...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps...通过精细化的授权策略、持续的资产清点与自动化响应,组织可在享受OAuth便利性的同时,遏制攻击者利用其“合法外衣”进行持久化渗透。本文所提框架已在多个企业环境中验证,可作为云身份安全治理的参考基线。

    28410

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    攻击者通过伪造IT部门通知、安全警报或软件更新提示,诱使用户访问看似合法的指令页面,并要求其在https://microsoft.com/devicelogin 输入一串六位字母数字组合的设备代码。...如https://microsoft.com/devicelogin),输入user_code;授权服务器验证用户身份(通常包括MFA)后,将授权授予客户端;客户端通过轮询使用device_code换取访问令牌...一旦授权完成,攻击者即可通过device_code兑换令牌,获得与用户同等的API访问权限。...MFA;攻击者轮询令牌端点,成功获取access_token与refresh_token;利用令牌调用Microsoft Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite

    21510

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    2024年以来,多个安全研究机构(包括Proofpoint、Microsoft Threat Intelligence、Mandiant)相继披露,来自俄罗斯(如Storm-2372、UNK_AcademicFlare...)、验证URI(verification_uri)及轮询间隔;客户端向用户展示user_code和verification_uri,提示其在另一设备上完成登录;用户访问verification_uri(...如https://microsoft.com/devicelogin),输入user_code;授权服务器验证用户身份(通常包括MFA)后,将授权授予客户端;客户端通过轮询使用device_code换取访问令牌...3.3 归因模糊化与防御挑战由于所有攻击均通过合法OAuth流程完成,日志中仅显示正常用户授权行为,缺乏异常IP或恶意载荷特征。...Graph API读取邮件:import requestswith open('stolen_token.json') as f:token = json.load(f)headers = {'Authorization

    21510

    新一轮钓鱼风暴来袭:你的Microsoft 365账户正在被“信任惯性”出卖

    这些通知,看起来再普通不过,几乎每天都在职场人的收件箱里刷屏。但正因如此,它们成了黑客最理想的“伪装外衣”。...这其实是诱导用户批准一个由攻击者控制的恶意OAuth应用,一旦授权成功,攻击者就能长期读取你的邮件、文件、日历和Teams聊天记录,即使你改了密码也无法彻底清除访问权限。...此外,攻击者还可能注册恶意应用,通过Microsoft Graph API批量导出组织架构、联系人列表和共享文档,为后续的供应链攻击铺路。一家企业的数据泄露,可能迅速波及上下游合作伙伴。...严格管控OAuth授权与外部共享禁止用户随意授权第三方应用访问M365数据,所有OAuth请求应由IT部门审批。同时,限制外部用户共享权限,默认关闭“任何人可访问”选项。3....开启统一审计日志与行为分析通过Microsoft Purview或第三方SIEM工具,监控异常登录行为,如短时间内大量邮件导出、频繁失败登录后突然成功、非工作时间活跃等。

    43510

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    一封来自 no-reply@teams.mail.microsoft.com 的邮件静静躺在某跨国制造企业IT主管的收件箱里。主题是:“你在‘财务Q4结算’会议中被提及”。...MFA保护的是“认证”,而非“操作”当攻击者通过远程控制软件接管终端后,所有操作均在用户会话上下文中进行。...此时,MFA早已完成,系统视所有操作为“合法用户行为”。攻击者可直接访问内部资源,无需再次认证。2....邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    21010

    网藤能力中心 | 深入Exchange Server在网络渗透下的利用方法

    Exchange Web Service(EWS,SOAP-over-HTTP) Exchange提供了一套API编程接口可供开发者调用,用于访问Exchange服务器,与邮件、联系人、日历等功能进行交互和管理操作...主页设置功能的滥用 在Outlook中,提供了一个功能允许用户在使用Outlook的时候设置收件箱界面的主页,可以通过收件箱的属性来设置加载外部URL,渲染收件箱界面。...,且该用户使用Outlook进行邮件管理; 攻击者通过Outlook登陆用户邮箱,为其收件箱属性设置主页URL,指向包含恶意脚本代码的页面; ruler提供了通过MAPI/HTTP的协议交互,利用合法的邮箱凭证向服务端写入收件箱主页...完事之后,删除该属性设置,如果不清除该设置,用户随后的多次浏览收件箱都将触发命令执行,造成empire接收多个反弹shell。...如果用户通过该属性设置了邮箱文件夹(如收件箱、发件箱等)的委派权限给其他用户,但权限委派过于宽泛时,可能导致攻击者利用有权限的用户,间接获得目标邮箱用户的邮件访问权。

    5.8K20

    Microsoft Exchange - 权限提升

    这可以通过向目标用户的邮箱添加规则来实现,该规则将电子邮件转发到攻击者控制的收件箱,或者将邮箱的访问权委托给他们的Exchange帐户。...存在此漏洞是因为根据设计,Microsoft Exchange允许任何用户指定推送订阅的URL,Exchange将向此URL发送通知。...0x01:电子邮件转发 从Outlook Web Access(OWA)门户访问受感染的帐户并选择收件箱文件夹的权限将打开一个包含邮箱权限的新窗口。 ?...电子邮件自动转发 已通过使用NTLM中继对Exchange进行身份验证,为目标帐户创建了一条规则,该规则将所有电子邮件转发到另一个收件箱。这可以通过检查目标帐户的收件箱规则来验证。 ?...规则 - 转发管理员电子邮件 0x02:委托访问 如果Microsoft Exchange用户具有分配的必要权限,则可以将其帐户(Outlook或OWA)连接到其他邮箱(委派访问权限)。

    4.1K30

    针对exchange的攻击方式

    EAS Exchange ActiveSync是一种允许用户通过移动设备或其他便携式设备访问和管理邮件、联系人、日历等Exchange功能的同步协议,在Windows上使用时其进程名称为wcesomm.exe...该服务目的是简化用户登录流程:用户只需要输入自己的电子邮件地址和密码,就能够通过Autodiscover服务获取运行客户端应用程序所需的配置信息 该服务运行在客户端访问服务器上。...exchange下,用户的邮件一般存放于””收件箱””文件夹,而对于英文则是”inbox” 获取全局地址表 依旧通过MailSniper 实现,在我们获得一个合法用户的凭据以后,就可以通过获取全局地址表来获取所有邮箱地址...点击此处的权限,来到以下界面,这里的默认即 所有用户(everyone) 的对此文件夹的权限,我这里是把权限给的很高 实战中也可能会遇到用户A对用户B的收件箱有读写权限的情况,所以我们在获取用户A的凭据后可以进而读取用户...若我们获得某用户的凭证,可以通过此功能设置“用户收到含指定字符的邮件时 执行指定的指令比如clac.exe”,当用户登录outlook客户端并访问到此邮件时,它的电脑便会执行calc.exe。

    5.1K20

    钓鱼邮件“精准制导”升级:Outlook与Gmail成重灾区,企业身份防线告急

    更令人忧心的是,这些攻击不再依赖粗劣拼写或可疑链接,而是通过线程劫持(Thread Hijacking)、伪共享文档、工单系统模拟等高可信度手法,成功绕过传统邮件网关,直抵员工收件箱。...页面不仅复刻了Microsoft 365登录界面,还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...用户点击后,页面通过JavaScript或HTTP 302跳转至最终钓鱼站点。访问用户邮箱、日历、联系人的API权限,且该令牌长期有效,难以察觉。...建立快速响应机制一键冻结账户:SOC接到报告后5分钟内禁用账号;会话吊销:通过Microsoft Graph API或Google Admin SDK,立即终止所有活跃会话;# Microsoft Graph

    24810

    今天,GPT-4登陆Office全家桶,打工人的生产方式被颠覆了

    现在,借助 Microsoft 365 Copilot,我们通过先进 AI 和最通用的用户界面 —— 自然语言,赋予人们更多的能力,并使技术更易于访问。」...在 Outlook 中,Copilot 节省了用户整理收件箱和编辑的大量时间,使其将精力集中于实际的沟通。...它实际上是一个复杂的处理和编排引擎,将 GPT-4 等大模型的强大功能与 Microsoft 365 应用、 Microsoft Graph 中的业务数据结合起来,通过自然语言技术提供给每个人。...给 Copilot 的 prompt 首先会通过 Microsoft Graph(Microsoft 的统一数据 API)进行过滤,以获取更多上下文。...然后将这些修改后的 prompt 发送到 GPT-4,回复会通过 Microsoft Graph 进行过滤以保障安全性、安全性和合规性,然后发送回 Microsoft 365 应用程序。

    2.8K50

    Office开发者计划-永久白嫖Office365

    ,它通过自动调用API的方式加强开发者账户的活跃度,以此来自动续期E5。...权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...版程序自动配置添加API权限 必须手动配置API权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门

    11.4K32

    Quantum Route Redirect工具对Microsoft 365钓鱼攻击的自动化机制与防御对策研究

    关键词:Quantum Route Redirect;Microsoft 365;钓鱼即服务;多因素认证绕过;条件访问;会话Cookie转发;Impossible Travel1 引言Microsoft...凭证与会话捕获:钓鱼页面提交表单后,数据通过POST发送至攻击者API。...2.2 MFA绕过机制尽管Microsoft 365广泛部署MFA,Route Redirect仍可通过以下方式实现绕过:会话令牌复用:若受害者近期已通过MFA登录,其浏览器中存在有效会话Cookie。...3 攻击影响与横向移动路径一旦成功窃取凭证或会话,攻击者可迅速展开后续行动:邮箱接管与线程劫持:通过Outlook Web Access(OWA)或EWS API监控收件箱,识别正在进行的商务沟通(如合同...4.4 SOC检测规则开发基于Microsoft Graph Audit Logs与Identity Protection信号,构建以下检测用例:会话Cookie异常使用:同一会话令牌在多个不同User-Agent

    24310

    Exchange漏洞攻略来啦!!

    具体请参考https://www.4hou.com/posts/62jl 2.读取OAB文件列表 访问的URL: https:///OABUrl/oab.xml 返回结果中包括多个OAB...注:所有邮箱用户都有对应的域用户,但域用户不一定拥有邮箱,需要管理员主动开启设置。 1.ldap查询 ldap 轻型目录访问协议,在 windows 系统中,可以通过 ldap 获取域用户基本信息。...同时,如果 ldap 配置不当,存在未授权访问漏洞,可以直接通过 389 端口获取用户列表。 可以在获得有效账户后使用工具获取用户列表....主页设置功能的滥用 在 Outlook 中,提供了一个功能允许用户在使用 Outlook 的时候设置收件箱界面的主页,可以通过收件箱的属性来设置加载外部 URL,渲染收件箱界面。...,且该用户使用 Outlook 进行邮件管理; 攻击者通过 Outlook 登陆用户邮箱,为其收件箱属性设置主页 URL,指向包含恶意脚本代码的页面; ruler 提供了通过 MAPI/HTTP 的协议交互

    9K20

    寄生在“官方邀请”里的骗局:微软 Entra 访客功能成钓鱼新温床,TOAD 攻击席卷全球企业

    为此,Microsoft Entra 提供了 B2B Guest User Invitation 功能:管理员或拥有权限的用户可向外部邮箱地址发送邀请,对方点击链接后即可作为“访客”加入本租户,访问指定应用或数据...且通过全部邮件认证,顺利进入收件箱;触发 TOAD 流程:受害者拨打电话后,攻击者冒充微软客服,以“退款需验证账户”为由,诱导其下载 AnyDesk、TeamViewer 等远程工具,或访问仿冒的 Microsoft...企业可通过 Microsoft Graph API 监控可疑邀请行为。...一旦电话接通,攻击者便进入“高转化率”阶段:利用专业话术制造紧迫感(“24小时内不处理将自动扣款”);引导用户访问“安全验证页面”(实为钓鱼站);要求“临时授权”远程桌面以“协助排查问题”;甚至直接诱导转账至...2024年,Google Workspace 共享钓鱼:攻击者创建 Google 文档,设置“仅限特定人访问”,然后通过 Google 的“共享邀请”功能向目标发送邮件。

    15510

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    24010

    MICROSOFT EXCHANGE – 防止网络攻击

    Microsoft Exchange 服务器是威胁参与者的常见目标,不仅因为它们提供了多个入口点,而且因为它们在绑定到 Active Directory 时提供了持久性和域升级的机会。...下图演示了威胁参与者实施的真实世界攻击,目的是通过滥用 Exchange 服务、Exchange API 和标准 Outlook 功能来实现完全的域入侵。...: Outlook Web 访问 (OWA) 交换网络服务 (EWS) Exchange ActiveSync (EAS) 所有这些服务都创建了一个攻击面,威胁参与者可以通过进行可能导致发现合法凭据、访问用户邮箱和执行域升级的攻击而受益...规则 Nick Landers 在 2015 年发现,为了从远程位置(WebDAV 或 SMB 共享)执行任意代码并获得对用户主机的持久访问权限,可能会滥用 Microsoft Outlook(规则和警报...该技术的发现属于Etienne Stallans,并且该攻击的实施需要用户凭据。 Microsoft 已发布补丁 ( KB4011162 ),通过从收件箱属性中删除主页功能来解决该漏洞。

    5.9K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券