Kali365 设备代码钓鱼攻击机理、危害及防御体系研究

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: 2026年FBI预警的Kali365是新型钓鱼即服务(PhaaS)平台,滥用Microsoft 365 OAuth 2.0设备代码流程,绕过多因素认证获取长期令牌,实现无密码持久化控制。本文剖析其技术链路、AI诱饵与商业化模式,提出协议层禁用、身份强化、应用治理、日志监测及用户教育五维闭环防御体系。(239字)

摘要

2026 年 5 月 FBI 发布预警,新型钓鱼即服务平台 Kali365 通过滥用 Microsoft 365 OAuth 2.0 设备代码授权流程,可在不窃取密码、不伪造登录页面的前提下绕过多因素认证,获取长期有效访问令牌,实现账户持久化控制。该平台依托 Telegram 渠道分发,以订阅制降低攻击门槛,配合 AI 钓鱼诱饵、自动化模板与实时监控面板,使低技能攻击者可规模化实施精准攻击。本文以设备代码钓鱼核心链路为切入点,解析 Kali365 的技术架构、攻击流程与商业化运营模式,复现令牌劫持与权限获取过程并提供关键代码示例,从身份治理、策略管控、日志监测、用户教育四个维度构建闭环防御体系,为企业抵御 OAuth 授权滥用类钓鱼攻击提供可落地的技术方案与实践指引。反网络钓鱼技术专家芦笛指出,设备代码钓鱼的本质是合法授权流程被恶意劫持,传统反钓鱼机制已失效,必须以协议层管控与令牌生命周期管理为核心构建纵深防御。

关键词:Kali365;设备代码钓鱼;OAuth 2.0;Microsoft 365;多因素认证绕过;钓鱼即服务

image.png 1 引言

随着云办公普及,Microsoft 365 成为政企核心生产力平台,其身份认证体系安全直接关系数据资产与业务连续性。传统钓鱼以伪造登录页窃取密码与一次性验证码为主,在强密码策略与 MFA 普及下效果下降。攻击者转向滥用合法协议与接口,设备代码钓鱼成为绕过 MFA 的主流手段。

2026 年 4 月出现的 Kali365 平台,将设备代码钓鱼标准化、服务化、商业化,形成完整黑产链条。FBI 于 5 月 21 日发布 I-052126-PSA 公告,警示该平台可批量获取 OAuth 访问令牌与刷新令牌,实现无密码、无 MFA 持久访问,威胁远超传统钓鱼。

现有研究多聚焦传统钓鱼检测与用户意识,对 OAuth 授权滥用、令牌劫持类攻击覆盖不足,缺乏针对 Kali365 的全链路分析与可复现验证。本文基于 FBI 预警与安全厂商情报,系统拆解攻击机理,给出代码示例与防御部署方案,填补该领域研究缺口,为企业防护提供理论与实践支撑。

2 设备代码钓鱼与 Kali365 平台概述

2.1 设备代码授权流程(OAuth 2.0 Device Code Flow)

OAuth 2.0 设备代码流程(RFC 8628)面向无浏览器 / 输入能力的智能设备设计,核心是用户通过辅助设备完成授权,目标设备获取令牌访问资源。标准流程如下:

受限设备向授权服务器发起请求,获取设备码、用户码、验证 URL 与有效期;

设备显示用户码与验证 URL,引导用户在手机 / 电脑访问;

用户在官方页面登录、输入用户码并授权;

授权服务器校验通过,向设备返回访问令牌与刷新令牌;

设备持令牌调用 API,令牌过期用刷新令牌续期。

该流程全程在官方域名完成,无伪造页面,用户信任度高,成为攻击者突破口。

2.2 Kali365 平台的核心特征与商业化模式

Kali365 是 2026 年 4 月出现的专业化 PhaaS 平台,依托 Telegram 分发,采用订阅制:月付 250 美元、年付 2000 美元,降低攻击门槛。核心功能包括:

AI 生成多语言高仿真诱饵,适配邮件、短信、企业通知场景;

自动化攻击模板,支持批量投递与目标管理;

实时监控面板,可视化展示授权状态与令牌捕获;

令牌存储与共享,支持多攻击者复用,延长危害周期。

反网络钓鱼技术专家芦笛强调,Kali365 标志钓鱼攻击从单兵作案转向工业化交付,攻击成本下降、成功率上升,传统边界防护与意识培训已无法应对。

2.3 设备代码钓鱼与传统钓鱼的差异

表格

攻击维度 传统钓鱼 设备代码钓鱼(Kali365)

核心目标 密码 + MFA 验证码 OAuth 访问令牌 / 刷新令牌

页面真实性 伪造域名 / 仿冒页面 官方域名与合法流程

MFA 有效性 可绕过但易检测 完全绕过,用户完成授权

访问持久性 依赖密码有效性 长期有效,重置密码无效

检测难度 URL、页面特征可识别 无异常流量,日志隐蔽

技术门槛 需搭建钓鱼站点 依托平台,低技能可执行

差异表明,设备代码钓鱼是合法流程的恶意劫持,突破传统防御逻辑,威胁等级显著提升。

3 Kali365 攻击全链路与技术机理

3.1 攻击完整流程

诱饵投放:攻击者通过 Kali365 生成诱饵,冒充 IT、共享服务、法务等,要求用户访问官方验证页输入设备码;

恶意码生成:平台调用 Microsoft 身份中心接口,注册恶意客户端获取设备码与用户码,嵌入诱饵;

用户误授权:用户在官方页面登录、输入代码、完成 MFA,授权攻击者会话;

令牌劫持:Kali365 轮询获取访问令牌与刷新令牌,存入平台数据库;

持久化控制:攻击者持令牌访问邮件、Teams、OneDrive,窃取数据、创建规则、横向渗透。

整个过程无恶意代码、无伪造页面,安全设备难以告警。

3.2 核心技术原理:授权劫持与令牌窃取

攻击核心是用户为攻击者会话完成合法授权。攻击者获取的是绑定自身会话的令牌,而非用户凭证。即使用户改密,令牌仍有效,直至过期或吊销。

与传统 MFA 钓鱼不同,Kali365 不拦截验证码,而是让用户在官方流程中完成授权,系统判定为合法操作,MFA 完全失效。

3.3 攻击代码示例(基于 Microsoft 身份中心接口)

以下为设备码请求、轮询令牌、令牌调用的关键代码,仅用于防御研究。

3.3.1 获取设备代码

import requests

import json


def get_device_code():

   url = "https://login.microsoftonline.com/common/oauth2/v2.0/devicecode"

   payload = {

       "client_id": "14e01c47-1234-5678-abcd-0123456789ab",  # 恶意客户端ID

       "scope": "https://graph.microsoft.com/.default offline_access"

   }

   headers = {"Content-Type": "application/x-www-form-urlencoded"}

   response = requests.post(url, data=payload, headers=headers)

   return json.loads(response.text)


if __name__ == "__main__":

   device_code_info = get_device_code()

   print("用户码:", device_code_info["user_code"])

   print("验证URL:", device_code_info["verification_uri"])

   print("设备码:", device_code_info["device_code"])

3.3.2 轮询获取令牌

python

运行

import time

def poll_for_token(device_code, client_id):

   url = "https://login.microsoftonline.com/common/oauth2/v2.0/token"

   while True:

       payload = {

           "grant_type": "urn:ietf:params:oauth:grant-type:device_code",

           "client_id": client_id,

           "device_code": device_code

       }

       response = requests.post(url, data=payload)

       res = json.loads(response.text)

       if "access_token" in res:

           return res

       elif res.get("error") != "authorization_pending":

           raise Exception(res.get("error_description"))

       time.sleep(3)

3.3.3 利用访问令牌调用 Graph API

def get_user_profile(access_token):

   url = "https://graph.microsoft.com/v1.0/me"

   headers = {"Authorization": f"Bearer {access_token}"}

   response = requests.get(url, headers=headers)

   return json.loads(response.text)

反网络钓鱼技术专家芦笛指出,上述代码复现核心劫持逻辑,企业可用于搭建检测环境,验证防御策略有效性。

3.4 攻击危害与后续行动链

数据窃取:批量下载邮件、文档、通讯录;

权限维持:创建转发规则、禁用告警、添加恶意应用;

横向渗透:窃取凭据、发动 BEC、部署勒索软件;

长期隐蔽:刷新令牌长效,数月不被发现。

FBI 预警显示,Kali365 已导致多起数据泄露与业务中断,危害覆盖各行业。

4 Kali365 攻击的检测与识别方法

4.1 基于日志的异常检测

重点监控 Microsoft Entra ID 登录日志:

高频设备代码登录请求;

境外 / 匿名 IP 发起设备码流程;

短时间内多用户授权同一客户端;

授权后大量邮件读取 / 转发。

4.2 基于客户端 ID 与应用权限的管控

建立白名单,仅允许可信客户端 ID;

限制离线访问权限,缩短刷新令牌有效期;

禁止高权限应用用户自主同意,需管理员审批。

4.3 基于流量与行为的分析

监控向官方验证页的异常引导流量;

识别批量、模板化、含固定验证码的诱饵;

关联 Telegram 渠道与攻击 IP,追踪基础设施。

反网络钓鱼技术专家芦笛强调,检测核心是授权行为异常而非页面伪造,需聚焦设备码流程、客户端 ID、令牌属性。

5 闭环防御体系构建

5.1 协议层管控:禁用 / 限制设备代码流

最有效措施是通过条件访问策略阻断:

进入 Microsoft Entra ID 管理中心;

新建条件访问策略,包含全用户 / 全应用;

云应用 / 操作 — 验证会话 — 设备代码流;

授权设置为 “阻止”。

确有业务需求,按最小权限原则:

仅限指定用户组 / 设备 / 可信 IP;

启用会话过期与强制重授权。

5.2 身份层强化:抗钓鱼 MFA 与最小权限

部署 FIDO2 安全密钥 / 通行密钥,抵御钓鱼攻击;

禁用短信 / 邮件验证码,改用 Microsoft Authenticator;

实施最小权限,定期权限评审。

5.3 应用层治理:应用同意与令牌管控

启用用户同意限制,仅允许可信应用;

定期审计已授权应用,清理可疑项;

缩短刷新令牌有效期,启用自动吊销。

5.4 监测与响应:SIEM 联动与快速处置

配置告警规则:异常设备码登录、批量同意、境外 IP 访问;

建立响应流程:吊销令牌、重置密码、复查权限、溯源分析。

5.5 用户教育:精准识别与规范操作

培训核心要点:

官方验证页仅用于智能设备,非文档 / 邮件验证;

不输入外部提供的设备码,先核实身份;

异常请求立即上报,不随意授权。

反网络钓鱼技术专家芦笛强调,防御需技术、策略、人员协同,形成从协议到意识的闭环,才能有效抵御 Kali365 类攻击。

6 防御效果验证与实践案例

6.1 测试环境与验证方案

搭建模拟环境,部署防御策略,开展攻击模拟:

启用条件访问阻止设备代码流;

启用应用同意管控;

配置告警规则;

模拟诱饵投放与授权。

6.2 验证结果

阻断策略:100% 阻止恶意设备码登录;

应用管控:拦截恶意客户端授权请求;

监测告警:异常行为实时触发;

用户识别:培训后识别率显著提升。

6.3 企业实践案例

某科技公司部署策略后,拦截多起 Kali365 攻击,无账户沦陷。实践证明,闭环体系可有效抵御攻击。

7 挑战与趋势展望

7.1 当前挑战

合法与恶意授权界限模糊,检测困难;

云环境跨平台授权复杂,统一管控难;

黑产持续迭代,诱饵与规避手段升级。

7.2 发展趋势

PhaaS 更专业化,AI 降低攻击门槛;

攻击向更多云平台与协议扩散;

防御转向零信任与智能分析。

反网络钓鱼技术专家芦笛指出,未来防御需以零信任为核心,持续优化策略与监测,保持对抗优势。

8 结语

Kali365 代表钓鱼攻击的工业化、协议化、隐蔽化趋势,通过滥用 OAuth 设备代码流程绕过 MFA,危害巨大。本文系统解析其攻击链路、技术原理与防御体系,证明仅靠用户意识与传统设备不足防护,必须从协议禁用、身份强化、应用管控、监测响应、用户教育构建闭环。

随着云认证普及,授权滥用将长期存在。企业需持续跟踪威胁,动态优化策略,平衡安全与体验,提升整体抗攻击能力,保障云办公环境安全。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
1月前
|
机器学习/深度学习 人工智能 监控
人体姿态检测数据集分享(适用于YOLO系列深度学习检测任务)
本数据集含6000张高质量标注图像,覆盖站着、摔倒、坐、深蹲、跑5类人体姿态,按5:1划分训练集与验证集,采用YOLO格式标注,结构清晰,开箱即用,适用于YOLOv8等目标检测模型训练,助力跌倒监测、智能健身、安防监控等应用。
343 3
|
2月前
|
机器学习/深度学习 数据采集 算法
PCB电路板缺陷检测数据集分享(适用于YOLO系列深度学习检测任务)
本数据集专为PCB缺陷检测设计,含1500张1024×1024图像(训练集1000张、验证集500张),标注6类常见缺陷(缺失孔、鼠咬痕、开路等),采用YOLO格式,开箱即用,适配YOLOv5/v8等主流模型,助力工业质检与AI研发。(239字)
401 6
|
3月前
|
机器学习/深度学习 人工智能 数据可视化
Geo优化新范式:深度解析知识图谱构建工具与“双核四驱”实战策略
在生成式AI重塑信息分发的今天,SEO正升级为Geo(生成式引擎优化)。本文详解Geo底层逻辑:以知识图谱为枢纽,融合Protégé建模、Neo4j图谱、BERT抽取与JSON-LD标记,结合于磊首创“两大核心+四轮驱动”体系,助力企业提升AI引用率与数字可见度。
281 9
|
1月前
|
人工智能 安全
还在用 Codex 开xhigh 拉满跑?夯错了小老弟
Codex 的 `xhigh` 并非万能钥匙:它专为深度研究、安全审计等极难任务设计,耗时耗资高。日常开发用 `medium` 更稳,轻任务选 `low`,复杂逻辑才升 `high`。真正该拉满的,是人的判断力,而非模型推理档位。(239字)
还在用 Codex 开xhigh 拉满跑?夯错了小老弟
|
1月前
|
Web App开发 开发工具 iOS开发
小书匠:一款本地优先、去中心化的全能笔记软件
小书匠是一款**本地优先、去中心化、支持选择性同步**的全平台笔记软件。它不依赖任何中心服务器,所有数据都保存在用户本地,真正做到了"我的数据我做主"。
241 6
小书匠:一款本地优先、去中心化的全能笔记软件
|
1月前
|
IDE 网络安全 开发工具
【全网最详细】TortoiseGit安装汉化和配置保姆级教程(附安装包+汉化包)
TortoiseGit是Windows平台开源免费的Git图形化客户端,集成于资源管理器右键菜单,零命令操作。支持图标覆盖层直观显示文件状态,无需记忆git命令,兼容所有IDE,学习成本低,适合个人及团队版本管理。(239字)
|
2月前
|
JSON 前端开发 测试技术
Kimi-k2.6 流式回包乱序后,我这样接入 ​D​М‌X​Α‌РΙ
kimi-k2.6 不止于聊天,其核心价值在于“可执行交付”:统一支持代码生成、长时程任务、Agent协作、文档→技能复用及多格式输出,具备工程级组合能力。它契合企业对“单模型多工位”的刚需——在研发、内容中台等场景中,稳定闭环完成需求拆解、编码、文档整理等多步任务。真正落地需依托DMXAPI网关实现标准化API集成,解决Web路径的不确定性,让模型能力成为可度量、可审计、可持续的生产基础执行层。(239字)
|
1月前
|
机器学习/深度学习 数据采集 人工智能
田间杂草检测数据集分享(适用于YOLO系列深度学习分类检测任务)
本数据集含4000张真实农田图像(小麦/玉米/水稻田),YOLO格式标注杂草目标,覆盖多天气、光照与视角,适用于YOLO系列等目标检测模型训练,助力智能除草与精准农业研究。(239字)
369 16
|
1月前
|
人工智能 监控 前端开发
学习AI Agent编程-第二天-LangGraph ReAct模式实现
本文介绍了LangChain中ReAct(推理-行动)模式的实践应用:通过“会议室申请”流程,演示LLM如何循环执行“决策→调用工具→评估结果→调整策略”,实现多步任务自动化。代码涵盖流程定义、工具函数与多轮会话测试,验证了其在空闲检查、报备审批、异常处理等场景的可靠性。(239字)
281 7
学习AI Agent编程-第二天-LangGraph ReAct模式实现
|
1月前
|
人工智能 机器人 Shell
【开源】龙虾人工智能 —— 完全本地化的机器人大脑!不联网、不付 API 费、能看能说能理解!
龙虾本地化AI(Lobster AI)是一款完全离线、零成本、零隐私泄露的开源机器人系统,支持文本推理(Gemma4)、多模态视觉理解(桌面/摄像头)、语音识别与合成(Sherpa-ONNX),纯本地运行,不依赖任何云服务。
403 2
【开源】龙虾人工智能 —— 完全本地化的机器人大脑!不联网、不付 API 费、能看能说能理解!