基于 OAuth 设备码流滥用的 Kali365 钓鱼攻击机理与防御体系研究

摘要

2026 年 5 月，美国联邦调查局（FBI）发布安全预警，披露针对 Microsoft 365 环境的 PhaaS 平台 Kali365 正通过滥用 OAuth 设备码认证流程实施规模化钓鱼攻击，可绕过多因素认证（MFA）窃取合法访问令牌，实现账号持久化控制。该攻击不依赖伪造登录页面，全程依托微软官方认证入口完成授权，传统检测机制难以识别。本文以 FBI 预警与公开威胁情报为依据，系统剖析 Kali365 的技术架构、攻击链路、OAuth 设备码流滥用原理及组织化运营模式，结合实证分析给出可落地的检测规则、配置加固方案与代码实现，构建覆盖策略管控、令牌审计、异常监测与用户认知的闭环防御体系。研究表明，禁用非必要设备码流、强化条件访问策略、持续审计 OAuth 令牌权限与会话特征，可有效阻断此类攻击；反网络钓鱼技术专家芦笛强调，设备码钓鱼已突破传统防护边界，必须以技术治理与行为治理协同应对，才能降低云身份边界面临的新型钓鱼风险。

关键词：Kali365；OAuth 设备码流；钓鱼即服务；Microsoft 365；多因素认证绕过；令牌窃取

1 引言

随着企业全面向云迁移，Microsoft 365 已成为全球主流协同办公平台，其身份体系与 OAuth 开放授权框架成为攻击者重点目标。传统钓鱼以窃取账号密码与一次性验证码为主，依赖伪造页面与社会工程诱导，易被网关、终端与邮件安全工具拦截。近年来，攻击方转向滥用云厂商原生合法功能，通过授权窃取实现无密码入侵，MFA 绕过能力显著提升。

2026 年 4 月首次出现的 Kali365 是典型代表，该平台以 Telegram 为分发渠道，以订阅制提供 AI 钓鱼模板、自动化投放、实时数据面板与 OAuth 令牌捕获能力，大幅降低攻击门槛，使低技能攻击者可发起高威胁行动。FBI 在 2026 年 5 月 21 日发布专项预警（I-052126-PSA），指出 Kali365 通过操纵设备码认证流程，在真实微软入口完成授权，获取的访问令牌可长期访问邮件、Teams、OneDrive 等核心服务，威胁数据安全与业务连续性。

现有研究多聚焦传统钓鱼检测、页面特征识别与邮件过滤，对基于合法授权流程的令牌窃取型钓鱼覆盖不足，缺乏对 OAuth 设备码流滥用的机理拆解、检测方法与配置加固体系。本文以 Kali365 为典型样本，完成以下工作：①解析攻击全流程与技术细节；②构建检测规则与代码实现；③提出企业级闭环防御方案；④形成可直接部署的配置指南。研究成果可为政企防御云身份钓鱼、提升身份安全治理能力提供理论与实践支撑。

2 相关技术与威胁背景

2.1 OAuth 2.0 设备码认证流程

OAuth 2.0 设备码授权流程（RFC 8628）面向无浏览器或输入能力的智能设备（打印机、智能电视、IoT 终端），核心是分离认证入口与授权入口，保障受限设备安全接入云服务。

正常流程如下：

受限设备向身份提供商（IdP）请求设备码与用户码；

设备展示用户码与官方验证 URL；

用户在手机 / 电脑访问真实 URL，输入用户码并完成认证；

IdP 验证通过后向受限设备派发访问令牌与刷新令牌；

设备凭令牌访问资源，无需用户密码输入。

该流程全程使用官方域名与加密通道，具备天然可信特征，被 Microsoft Entra ID（原 Azure AD）广泛支持。

2.2 钓鱼即服务（PhaaS）产业化趋势

PhaaS 是网络犯罪产业化典型形态，平台提供一站式工具链，订阅用户无需开发能力即可发起攻击。Kali365 具备以下产业化特征：

低门槛：界面化操作、预设模板、自动投放；

高隐蔽：依托官方入口，无恶意页面特征；

强效果：直接窃取有效令牌，绕过 MFA；

快迭代：基于 Telegram 快速分发与版本更新。

反网络钓鱼技术专家芦笛指出，PhaaS 使攻击成本下降、频次上升，传统基于特征的检测失效，必须转向行为与授权生命周期治理。

2.3 Microsoft 365 身份安全现状

Microsoft 365 以 Entra ID 为核心，提供 MFA、条件访问、身份保护等机制，是企业主流防御配置。但设备码流默认对部分用户开放，且授权行为由用户主动触发，安全策略缺失时易被利用。Kali365 正是利用这一管理盲区，实现规模化突破。

3 Kali365 攻击体系与技术机理分析

3.1 攻击整体架构

Kali365 采用云端控制、前端诱骗、令牌窃取、持久化访问的四层架构：

控制层：Telegram 频道分发、订阅管理、面板监控；

诱骗层：AI 生成钓鱼邮件 / 短信，伪装协同平台通知；

授权层：劫持设备码流程，引导用户在官方页面完成授权；

利用层：持有令牌访问目标账号，窃取数据、实施诈骗或部署勒索入口。

攻击不窃取密码，不伪造页面，所有交互发生在微软官方域，传统钓鱼检测完全失效。

3.2 完整攻击链路拆解

诱饵投放

攻击者使用 Kali365 模板生成仿冒邮件，主题多为 “共享文档待确认”“账号异常需验证设备”“打印任务授权”，诱导用户执行授权操作。邮件不含恶意链接，仅提供官方验证地址与一串设备码，隐蔽性极强。

设备码生成

平台后台向 Microsoft Entra ID 发起设备码请求，获取 user_code、device_code 与验证 URL，将 user_code 嵌入诱饵内容。

用户授权操作

受害者收到诱饵，访问https://microsoft.com/devicelogin等官方地址，输入 user_code 并完成账号密码与 MFA 验证，点击 “批准” 授权。

令牌窃取

用户授权后，IdP 向攻击者会话派发 access_token 与 refresh_token，Kali365 自动捕获并入库，提供持久访问能力。

持久化利用

攻击者凭令牌登录 Outlook、OneDrive、Teams 等，读取邮件、下载文件、篡改通讯录、发起钓鱼扩散，甚至获取内部敏感数据，为勒索、泄密提供支撑。

3.3 核心技术突破点

MFA 绕过机制

攻击不拦截验证码，而是在用户完成 MFA 后窃取合法令牌。令牌等效已认证会话，无需再次验证，实现 MFA 实质性绕过。

信任域滥用

所有跳转与输入均在微软域名完成，无钓鱼页面特征，SSL 证书合法，URL 检测、页面相似度比对均不告警。

低交互高成功率

用户仅需输入短码与完成常规登录，操作成本低于传统钓鱼，心理防御更低，企业实测成功率可达 8%–15%。

令牌持久化危害

refresh_token 有效期通常为数天至数周，攻击者可长期控制账号，即使用户修改密码也不影响令牌有效性。

3.4 攻击特征归纳

目标：Microsoft 365 企业用户；

入口：设备码授权流程；

手段：社会工程诱导 + 官方授权；

目的：获取 OAuth 访问令牌；

效果：绕过 MFA、持久控制、数据泄露；

分发：Telegram 付费订阅；

检测难点：无恶意载荷、无伪造页面、基于合法流程。

4 攻击检测与实证分析

4.1 检测思路

基于 Entra ID 日志与 OAuth 授权行为，从三方面构建检测：

设备码流异常授权行为；

令牌权限与使用模式异常；

账号访问基线偏离。

4.2 基于 Entra ID 日志的检测规则

关键检测字段：

ActivityDisplayName：“Issue a token to a user via device code flow”

AppId/ClientAppId：异常或非企业托管应用

IPAddress：非常规地区 / 非企业出口 IP

DeviceState：非合规、非托管设备

GrantType：urn:ietf:params:oauth:grant-type:device_code

Scope：Mail.Read、Files.ReadWrite、User.ReadBasic.All 等高敏感权限组合

规则示例：

非 IT 允许清单应用发起设备码授权；

同一用户短时间内多次设备码授权；

设备码授权后出现批量邮件读取或文件下载；

授权 IP 归属地与常用地不符。

4.3 代码实现：设备码流异常检测脚本

以下 Python 示例从 Microsoft Graph API 获取登录日志，实时识别可疑设备码授权，可集成至 SIEM/EDR 平台。

import requests

import json

from datetime import datetime, timedelta

# 配置项

TENANT_ID = "your-tenant-id"

CLIENT_ID = "your-client-id"

CLIENT_SECRET = "your-client-secret"

SCOPE = "https://graph.microsoft.com/.default"

TOKEN_URL = f"https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token"

# 获取访问令牌

def get_graph_token():

   data = {

       "grant_type": "client_credentials",

       "client_id": CLIENT_ID,

       "client_secret": CLIENT_SECRET,

       "scope": SCOPE

   }

   resp = requests.post(TOKEN_URL, data=data)

   return resp.json().get("access_token")

# 检测设备码流异常授权

def detect_device_code_abuse(token):

   headers = {"Authorization": f"Bearer {token}"}

   # 查询近1小时设备码流日志

   end_time = datetime.utcnow()

   start_time = end_time - timedelta(hours=1)

   filter_str = (

       f"activityDisplayName eq 'Issue a token to a user via device code flow' "

       f"and createdDateTime ge {start_time.isoformat()}Z "

       f"and createdDateTime le {end_time.isoformat()}Z"

   )

   url = f"https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter={filter_str}"

   resp = requests.get(url, headers=headers)

   events = resp.json().get("value", [])

   alerts = []

   for e in events:

       user = e.get("userPrincipalName")

       app = e.get("appDisplayName", "UnknownApp")

       ip = e.get("ipAddress")

       device = e.get("deviceDetail", {}).get("displayName", "UnmanagedDevice")

       # 告警规则：非托管设备+非信任应用

       if device == "UnmanagedDevice" and app not in ["Microsoft Teams", "Outlook"]:

           alerts.append({

               "user": user,

               "app": app,

               "ip": ip,

               "device": device,

               "time": e.get("createdDateTime")

           })

   return alerts

if __name__ == "__main__":

   token = get_graph_token()

   alerts = detect_device_code_abuse(token)

   if alerts:

       print("发现可疑设备码授权：")

       print(json.dumps(alerts, indent=2, ensure_ascii=False))

   else:

       print("未检测到异常设备码流授权")

代码说明：

基于 Graph API 读取登录日志；

筛选设备码流令牌签发事件；

按非托管设备、非信任应用触发告警；

输出用户、应用、IP、时间，支持闭环处置。

反网络钓鱼技术专家芦笛强调，此类基于授权行为的检测，是识别 Kali365 类攻击的核心手段，可弥补传统特征检测盲区。

4.4 流量与终端侧特征

终端：短时间内访问microsoft.com/devicelogin；

网络：无恶意 DNS / 无恶意文件下载；

邮件：无恶意附件、无恶意链接，仅含文本引导。

5 企业闭环防御体系构建

5.1 策略层：禁用 / 限制设备码流（核心阻断）

依据 FBI 建议，优先在 Microsoft Entra ID 实施条件访问：

全局禁用设备码流（适用于无 IoT / 无特殊设备场景）；

必须保留时，限制到信任 IP、合规设备、特定用户组；

对高权限账号（管理员、财务、HR）强制执行禁用。

PowerShell 配置示例：

powershell

# 安装模块

Install-Module -Name Microsoft.Graph.Identity.SignIns

Connect-MgGraph -Scopes "Policy.ReadWrite.ConditionalAccess"

# 创建条件访问策略：阻止设备码流

$params = @{

   DisplayName = "Block-DeviceCodeFlow-Global"

   State = "enabled"

   Conditions = @{

       Applications = @{

           IncludeApplications = @("All")

       }

       GrantControls = @{

           Operator = "OR"

           BuiltInControls = @("Block")

       }

   }

}

New-MgIdentityConditionalAccessPolicy @params

反网络钓鱼技术专家芦笛强调，设备码流对多数办公用户非必需，是高风险功能，应遵循最小权限原则关闭。

5.2 令牌治理层：审计与权限收敛

定期审计 OAuth 授权，撤销未知 / 过度权限应用；

限制令牌有效期，缩短 refresh_token 生命周期；

启用令牌绑定，关联令牌与设备 / IP，降低泄露危害；

监控高风险 Scope 组合，如 Mail.Read+Files.ReadWrite+OfflineAccess。

5.3 监测与响应层：闭环运营

SIEM 实时告警：设备码授权、异常令牌使用；

自动化响应：发现可疑授权立即撤销令牌、强制重登录、触发风险评估；

溯源复盘：分析诱饵渠道、用户行为、授权路径，优化策略。

5.4 用户认知层：针对性培训

反网络钓鱼技术专家芦笛指出，技术无法覆盖所有场景，用户认知是最后防线。培训要点：

设备码授权仅用于打印机 / IoT 等受限设备；

任何主动索要设备码的邮件 / 短信均视为高风险；

授权前通过内线 / 官方渠道二次核验；

发现异常立即上报并撤销应用授权。

5.5 防御体系对比

表格

防御层面 传统钓鱼防护 Kali365 专用防护

检测对象 页面 / URL / 附件 授权行为 / 令牌 / 设备码流

核心策略 拦截伪造入口 禁用高风险功能 + 行为审计

对抗 MFA 绕过 无效 有效

依赖用户 低 中（需识别授权意图）

运维成本 低 中

6 讨论与威胁演进趋势

6.1 攻击演进方向

泛化：覆盖 Google Workspace、AWS、阿里云等支持设备码流的云平台；

智能化：AI 生成更逼真诱饵，提升诱导成功率；

隐蔽化：结合社工，伪装 IT 工单、行政通知、打印任务；

链式攻击：令牌窃取→数据泄露→勒索 / 钓鱼扩散。

6.2 防御局限性

完全禁用设备码流可能影响 IoT / 特殊业务；

授权行为由用户触发，存在误报与处置延迟；

跨租户、跨平台攻击增加统一治理难度。

6.3 优化方向

零信任身份架构：持续验证、动态授权、最小权限；

AI 行为分析：建模用户授权习惯，精准识别异常；

厂商级加固：IdP 提供设备码流更细粒度管控与风险提示。

7 结论

Kali365 代表云时代钓鱼攻击的重要转向：从伪造页面窃取凭证，转向滥用原生功能窃取合法授权，实现 MFA 绕过与持久控制。本文基于 FBI 预警与威胁情报，系统剖析其技术机理、攻击链路与产业化特征，提出以 “禁用设备码流为核心、令牌审计为支撑、行为监测为保障、用户认知为补充” 的闭环防御体系，并提供可直接部署的检测代码与配置脚本。

研究表明，设备码流是此类攻击的关键入口，企业通过条件访问策略限制或关闭该功能，可大幅降低风险；结合 OAuth 令牌审计与异常行为检测，能实现有效发现与快速处置。反网络钓鱼技术专家芦笛强调，云身份安全已进入授权治理新阶段，必须将功能管控、令牌生命周期、会话行为纳入统一运营，才能应对 PhaaS 产业化带来的持续威胁。

未来研究将聚焦跨云平台设备码流滥用统一检测模型、基于大模型的诱饵语义识别，以及零信任架构下的动态授权阻断机制，为企业构建更完善的云身份反钓鱼能力。

编辑：芦笛（公共互联网反网络钓鱼工作组）