文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...而攻击者正是将第1步中的“受限设备”替换为自己的恶意服务器。...此时,受害者实际上是在向攻击者控制的应用授权!一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...但设备代码钓鱼邮件往往只包含一段文字:“请复制以下代码到 https://microsoft.com/devicelogin 完成验证”,无链接、无附件、无恶意域名,极难被拦截。...调用);使用Microsoft Defender for Cloud Apps设置异常活动告警,如“单用户1小时内下载10GB OneDrive数据”。

12910

寄生在“官方邀请”里的骗局:微软 Entra 访客功能成钓鱼新温床,TOAD 攻击席卷全球企业

然而,在邀请邮件附带的 自定义消息字段(Message Field) 中,攻击者巧妙嵌入了一段精心编排的钓鱼话术:“您的 Microsoft 365 年度订阅已续费,金额为 $499.99。...而一旦受害者因恐慌拨通那个“客服电话”,一场名为 TOAD(Telephone-Oriented Attack Delivery,电话导向型攻击交付) 的精密骗局便正式启动——从远程控制软件安装到账户凭证窃取...用户心理盲区员工普遍认为:“来自 @microsoft.com 的邮件 = 安全”。尤其当邮件涉及“账单”“订阅”“账户异常”等高敏感话题时,警惕性反而因“官方背书”而降低。...企业可通过 Microsoft Graph API 监控可疑邀请行为。...以下是一个基于 PowerShell 的监控脚本雏形:# 获取最近24小时内所有外部邀请$invites = Invoke-MgGraphRequest -Uri "https://graph.microsoft.com

9210
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    onedrive for business使用python上传文件

    API 终结点 URL OneDrive for Business 资源的访问令牌 在当前令牌到期时生成其他访问令牌的刷新令牌。...onedrive for business使用的是标准的Oauth2流程,所以大概流程就是先获取code,使用code交换access_token,然后就可以调用api了,这里先贴出获取code以及交换...refresh_token': token['refresh_token'], 'grant_type': 'refresh_token', 'resource': 'https://graph.microsoft.com...终结点是https://graph.microsoft.com onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive,但是文档中以及网上教程写的是...https://graph.microsoft.com/me/drive,这也是我认为比较坑的一点 secret需要复制“值”,而不是“机密ID” 完整代码 此处内容需要评论回复后方可阅读 使用实例 1

    5.2K50

    OpenAI推出企业级SharePoint连接器,挑战Microsoft 365 Copilot

    这一举措通过提供与Microsoft 365 Copilot类似的能力,即对存储在SharePoint Online和OneDrive for Business中的文件进行推理分析,直接向Microsoft...访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...OpenAI指出,同步连接器仅适用于启用数据驻留的美国客户或不介意其数据存储在美国的国际客户。他们指出:"我们尚不支持非美国数据驻留配置的区域存储。"...使用Graph权限读取SharePoint的应用示例可在此处找到。...说服人们将重要文件存储在SharePoint Online中而不是OneDrive for Business中已经够困难了。加入ChatGPT只会使管理企业文件的任务更加困难。

    15610

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    关键词:OneDrive钓鱼;云跳板攻击;中间人代理;条件访问;CASB;会话连续性;无密码认证1 引言在企业全面拥抱云协作的时代,Microsoft 365生态中的OneDrive与SharePoint...一旦得手,攻击者可立即利用Graph API遍历收件箱,提取包含财务、合同、人事等关键词的邮件线程,自动生成极具欺骗性的横向钓鱼内容,形成指数级扩散。面对此类攻击,仅依赖邮件层防护已显不足。...Graph API遍历收件箱:import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs..." # 从AiTM获取headers...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...会话的User-Agent、IP、地理位置是否与共享创建者一致?通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。

    22210

    Cloudflare Workers部署Onedrive直链程序并实现反代下载

    OI1.png 注册时会要求填写应用程序名以及调整一些设置,应用程序名任意填写即可,把“受支持的账户类型”调整为第三项“所有 Microsoft 帐户用户”,重定向URL改为Web,网址填写https:...//heymind.github.io/tools/microsoft-graph-api-auth并点击注册。...OI4.png 创建完成之后,客户端密码这里就会多出一个值,我们点右侧的复制按钮把它复制下来并妥善保存,待用。 OI5.png 随后我们进入API权限选项卡,把我们需要的API权限添加进来。...点左侧的Microsoft Graph,然后在弹出框中添加入offline_access, Files.Read, Files.Read.All这三个权限,最后点击更新权限即可。...然后我们进入Microsoft Graph API Auth来获取一个token。 OI9.png 复制之后,我们回到token获取工具,看到4.

    7.7K40

    微软E5开发者版

    选择国家(关系到OneDrive数据等存储位置)。填写域、用户名和密码,后面使用用户名@域.onmicrosoft.com进行登陆。...此处注册后需要记录应用程序(客户端)ID 名称任意 账户类型选择最后一个 重定向URI选择Web,填写:https://e5.qyi.io/outlook/auth2/receive ?...配置API 前面的应用程序(客户端)ID和客户端密码的值都记录好后,下面进行API的配置 点击左侧API权限,添加权限然后选择Microsoft Graph ?...这里可以修改为5T 访问OneDrive管理中心,修改默认存储为5120GB,点击保存即可 刚刚创建的E5可能会显示出错,隔一段时间再配置即可。...(我这里隔了大概10分钟就可以了) 管理用户 在订阅页面中点击管理,跳转到Microsoft 365 Admin Center 点击用户-活跃用户,可添加/删除用户等操作 参考 免费申请office

    3K40

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    但就在你输入那串看似无害的字母数字组合、点击“下一步”的瞬间,你的企业邮箱、OneDrive 文件、Teams 会议记录,甚至整个 Azure AD 权限,可能已经落入黑客手中。...“您的 OneDrive 存储即将锁定,请验证设备以继续使用。”...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...事实上,Google 已在其 OAuth 流程中引入更严格的审查机制,对高风险应用进行人工审核。而 Microsoft 目前仍以“自助注册”为主,门槛极低。“开放生态需要护栏,而不是放任。”

    12110

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    出于职业习惯,安娜点击了链接——页面跳转至一个看似正常的Microsoft OneDrive界面,提示她“复制下方设备代码并前往 https://microsoft.com/devicelogin 完成授权...他们搭建一个伪装成文档共享页面的钓鱼站点(常托管于Cloudflare Workers等无服务器平台),诱导受害者:复制一段看似随机的“设备代码”;前往真实的微软设备登录页(https://microsoft.com...# 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。

    11310

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    2025年披露的一起新型攻击事件显示,攻击者利用Microsoft OneDrive作为主要传播媒介,通过伪造人力资源部门关于薪酬调整或股权授予的通知邮件,诱导目标点击嵌入的共享链接。...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...再者,OAuth授权管理普遍薄弱,高管账户往往拥有广泛权限,而IT部门缺乏对第三方应用授权的主动审计机制。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...": f"Bearer {user_token}"}url = "https://graph.microsoft.com/v1.0/me/oauth2PermissionGrants"response

    18310

    PwnAuth——一个可以揭露OAuth滥用的利器

    访问Microsoft OneDrive轻松进行文件共享的应用程序就是一个利用OAuth的应用程序示例。...API——资源 客户端希望访问的目标应用程序。在本例中,Microsoft OneDrive API 终端是资源。 资源拥有者 允许访问其部分帐户的人员。在本例中,就是你。...在本例中,应用程序可能会请求访问OneDrive文件和用户配置文件。 OAuth 2.0提供了几种不同的授权“权限类型”,以适应用户及与之交互的不同应用程序。...访问令牌可以在设定的时间段内使用,从API资源访问用户的数据,而无需资源所有者采取任何进一步的行动。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

    2.4K20

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    、OneDrive及Teams等核心服务。...关键词:OAuth 2.0;MFA绕过;Microsoft Entra ID;钓鱼攻击;身份安全;API权限;条件访问;第三方应用治理1 引言随着云办公的普及,Microsoft 365已成为全球企业数字基础设施的核心组成部分...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...关键点在于:MFA仅在第3步验证用户身份,而第5步的“同意”操作本身无二次验证。一旦用户授权,即使账户启用了MFA,攻击者仍可通过令牌直接访问资源。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    19810

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...、设置转发规则或窃取OneDrive文件。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    22110

    钓鱼邮件“精准制导”升级:Outlook与Gmail成重灾区,企业身份防线告急

    这场风暴的核心逻辑清晰而致命:随着企业全面迁移到云邮箱,攻击者的战场也随之聚焦——身份凭证,成了数字世界的“万能钥匙”。...所附链接指向一个伪造的OneDrive或Google Drive页面,要求“重新登录以查看文件”。由于邮件处于真实对话线程中,收件人极易放松警惕。...页面不仅复刻了Microsoft 365登录界面,还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...2025年9月,欧洲一家制造企业因一名销售助理点击钓鱼链接,导致价值280万欧元的虚假付款。调查发现,攻击者在得手后仍潜伏在邮箱中长达47天,持续监控并购谈判邮件。...建立快速响应机制一键冻结账户:SOC接到报告后5分钟内禁用账号;会话吊销:通过Microsoft Graph API或Google Admin SDK,立即终止所有活跃会话;# Microsoft Graph

    10110

    云邮箱钓鱼攻击趋势与企业防御体系重构

    此类攻击不仅绕过基于签名与URL黑名单的传统检测机制,还因高度拟真而大幅降低用户警惕性。...值得注意的是,攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限,攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程,造成数据泄露、商业欺诈甚至供应链污染...4.2 协议层:禁用高风险遗留协议IMAP、POP3、SMTP AUTH等协议不支持现代认证机制(如OAuth 2.0),且无法传递设备上下文,成为凭证重放攻击的主要入口。企业应全面禁用此类协议。...Microsoft Graph API吊销会话示例:import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers = {"Authorization": f"Bearer

    18210

    UpCrypter钓鱼攻击中伪装微软通知的远控部署机制分析

    此类攻击通常始于一封看似来自Microsoft Support的电子邮件,声称用户账户存在“未授权登录”或“安全验证失败”,并附带一个“紧急安全补丁”或“身份复核文档”。...2.1 初始诱饵:伪造微软通知攻击者精心构造邮件内容,模仿Microsoft官方通知格式,常见主题包括:“您的Microsoft账户存在异常登录尝试”“请立即验证您的账户授权状态”“安全警报:检测到高风险活动...;OneDrive API:通过OAuth令牌上传文件至攻击者控制的云盘。此类通信因使用HTTPS且域名合法,难以被传统防火墙识别。...5.2 内存扫描与动态建模部署内存取证工具,定期扫描进程堆栈中的加密段与解密痕迹。...非企业授权的OneDrive API调用5.4 邮件验证机制改革企业应推行“独立门户验证”策略:所有涉及账户安全的通知,必须通过专用安全门户(如MFA登录后的内部系统)确认,禁止通过邮件附件或外部链接处理敏感操作

    17710

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    典型场景中,受害者收到伪装成Windows更新失败或CAPTCHA验证的页面,被要求复制一段PowerShell或CMD命令并粘贴至终端执行。此类命令通常会下载恶意载荷、建立持久化后门或禁用安全软件。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...而企业级批量撤销功能通常权限过高,仅限全局管理员使用,响应速度慢。第四,安全培训缺失。 多数安全意识培训聚焦于“不要点击可疑链接”或“不要泄露密码”,却极少解释“授权同意”的风险。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    16110

    基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

    文中通过 Python 与 Microsoft Graph Security API 的代码示例,展示如何实现异常登录行为的自动化检测与响应。...Microsoft Authenticator 通知并点击 Approve”;横向移动:使用获取的会话访问 Power BI 或自定义校友数据库,导出 CSV 文件;数据外传:通过 OneDrive 共享链接或...4.2 检测层:基于行为的异常识别即使攻击者获得凭证,其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外,通过 Graph API 监控,我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件,验证了检测机制的有效性。...本文通过技术还原与防御建模表明,抵御此类攻击不能依赖单一手段,而需构建以身份为中心、以行为为依据、以教育为基础的综合防御体系。

    17000

    企业级品牌钓鱼攻击的演化机制与防御体系构建——以Microsoft仿冒为典型案例

    而2025年Q2数据显示,攻击者已转向高度场景化的诱饵设计,主要包括三类:OneDrive/SharePoint共享通知:伪造“您被邀请查看某文档”的邮件,链接指向仿冒登录页。...值得注意的是,该CAPTCHA通常无需真实解决,仅需点击“验证”按钮即可跳转至下一阶段(如信用卡信息收集页)。...当Microsoft仿冒邮件因高度逼真而频繁触发用户报告时,分析师易产生“狼来了”效应,导致对真实高危事件的响应延迟。...2025年Q2多起供应链攻击即始于OneDrive共享钓鱼。...):如mіcrosoft.com(使用西里尔字母і);子域爆破:如login.microsoft-support[.]com;新注册域名:利用WHOIS API或第三方服务(如SecurityScorecard

    21110
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券