当下多数企业的M365身份安全体系存在一个极其隐蔽的致命缺陷。几乎所有安全团队都会做密码强度管控、全员MFA部署、邮件网关过滤、终端EDR查杀。整套体系搭建完成后团队会自然产生安全错觉员工即便点击钓鱼链接攻击者也无法突破二次验证核心业务数据、企业邮箱与网盘资源处于安全状态。但EvilTokens幽灵钓鱼的大规模落地直接击碎了这套传统防护逻辑。这一轮攻击没有利用系统漏洞、没有植入木马病毒、没有伪造恶意域名、没有破解账号密码。攻击者只是组合了两项合法技术就实现了全网隐身、全程绕过安全设备、百分百突破企业MFA防护最终拿到微软官方签发的90天长效控制令牌。截至目前公开溯源数据显示全球已有344家企业组织遭受持续性定向攻击LSHIY LLC所属IPv6网段内78个有效M365企业账号被完全接管。不同于传统钓鱼一击即走该攻击获取的长效OAuth令牌可静默驻留90天攻击者能在无任何告警、无登录提醒的前提下持续读取企业邮箱、办公文档、Teams会话记录、客户资料与核心业务数据。站在企业决策与安全顶层视角我可以给出最直白的判定传统特征类安全设备对加密幽灵钓鱼完全无效常规MFA多因素认证对设备码协议滥用彻底失效。现代企业云身份安全已经不再是防恶意攻击而是防合法功能的恶意滥用。本文完全从实战落地角度出发以对抗式审查思维复刻完整攻击链路依托第一性原理拆解底层缺陷不堆砌概念、不空谈理论配套可直接复制的检索脚本、封禁策略、应急处置SOP所有内容均适配企业真实运维场景可直接落地部署。一、EvilTokens核心本质黑产钓鱼武器化的平民化普及传统钓鱼攻击对攻击者存在硬性技术门槛。过去黑产人员想要制作一套可用的钓鱼体系需要自主开发前端页面、高仿官方UI、搭建私有服务端、规避各类安全设备特征检测、处理数据接收逻辑。技术能力不足的攻击者制作的钓鱼页面破绽百出极易被员工识别、被网关设备拦截。EvilTokens彻底抹平了所有技术门槛它是一套标准化、商业化的PhaaS钓鱼即服务平台。黑产无需任何开发能力只需付费开通权限在后台选择适配M365的社工模板一键生成专属钓鱼链接与页面全程自动化完成加密、投递、授权承接、令牌留存全流程操作。这款平台最恐怖的核心优势不是技术创新而是全链路合规伪装。整套攻击链路的每一个环节都依托行业标准合法技术构建。加密采用标准AES-GCM商用加密算法认证依托微软官方RFC8628设备授权协议接口调用走微软原生Entra ID接口页面跳转使用微软官方域名与合规证书。在安全设备的检测逻辑中这套攻击链路没有任何恶意特征所有行为都被判定为正常、合法的业务请求。这也是大量配备顶级安全设备、完善防护体系的中大型企业依旧批量沦陷的核心原因。攻击不再是显性的恶意入侵而是隐性的合法功能滥用传统安全防护体系完全没有适配这类对抗场景。二、Ghost幽灵钓鱼AES-GCM加密绕过全网防护底层原理所有安全人员必须厘清一个核心边界安全网关、防火墙、邮件系统的扫描行为发生在服务端与传输层幽灵钓鱼的解密与页面渲染行为只发生在用户本地浏览器。两层场景完全隔离构成了天然的检测盲区。传统安全设备的查杀逻辑非常固定依靠抓取网页明文源码、匹配恶意脚本、检索钓鱼关键词、比对特征库、识别仿冒页面结构完成拦截。这套机制针对明文钓鱼页面、恶意源码、仿冒站点具备极强的拦截能力但面对密文结构彻底失效。EvilTokens的幽灵钓鱼模块会对整套钓鱼页面的HTML结构、交互JS脚本、社工诱导文案进行全局AES-GCM加密处理。最终对外输出的静态页面仅保留数十行极简的客户端解密外壳代码页面主体内容全部为加密乱码。2.1 AES-GCM加密实现全维度绕过的核心逻辑普通AES加密模式存在明显缺陷加密结构固定、密文特征可识别安全设备可通过格式化、爆破、特征匹配还原内容。而GCM伽罗瓦计数器模式是目前商用场景最安全的对称加密模式之一自带流式加密、随机向量混淆、数据完整性校验三重能力。这让EvilTokens生成的钓鱼页面具备三个不可检测的特性。第一页面无任何明文可读内容网关、沙箱、邮件系统检索不到任何钓鱼关键词、违规字段与恶意文本。第二每次生成的加密密文完全随机不存在固定脚本指纹与页面特征无法被特征库匹配拦截。第三页面结构极简、无违规标签、无异常载荷静态检测判定为正常合规网页。所有解密动作完全本地化执行。用户点击链接后浏览器下载加密静态文件仅在本地内存中执行解密脚本、渲染完整钓鱼页面传输链路、服务器节点、安全设备全程无法接触明文内容。全网所有基于服务端扫描、明文检测、特征匹配的防护设备会直接放行所有加密诱饵。2.2 幽灵钓鱼完整攻击链路1.一键生成加密钓鱼模板2.全渠道批量投递3.网关无特征检测 直接放行4.用户终端访问5.本地JS解密执行6.社工诱导用户点击核验EvilTokens后台AES-GCM加密静态页面企业邮件/IM工具/短信链接邮件网关/WAF/EDR/沙箱浏览器加载加密外壳内存渲染高仿M365官方页面拉起OAuth设备码授权流程2.3 传统企业防护集体失效的真实原因结合大量企业安全日志复盘传统防护体系的失效逻辑高度统一。邮件网关仅审计明文内容密文页面无任何违规字段自动放行URL过滤系统无恶意域名、无黑库特征、无异常跳转判定为安全链接终端EDR检测不到恶意脚本、木马载荷与挖矿程序无告警触发云沙箱静态检测页面结构正常动态行为无攻击动作直接标记合规。幽灵钓鱼不属于病毒、木马、漏洞利用、恶意跳转等传统攻击形态它是依托标准加密算法构建的社工诱饵精准击中了现代安全设备“只防恶意、不防异常合规”的核心短板是目前全网最难检测、拦截率最低的钓鱼攻击形态。三、M365设备码钓鱼MFA被彻底绕过的第一性原理拆解绝大多数企业安全建设存在核心认知错误认为全员MFA部署完成后账号身份安全即可闭环。但从第一性原理来看MFA的防护边界仅针对账号密码登录、表单登录场景完全无法覆盖OAuth协议授权场景。EvilTokens设备码钓鱼最核心的颠覆点它不绕过、不破解、不爆破MFA校验而是诱导合法用户主动完成MFA校验主动给攻击者授权。企业投入成本搭建的二次验证体系最终变成了攻击者完成认证的工具。3.1 RFC8628设备协议的原生安全缺陷微软设计OAuth2.0设备码流协议的初衷是适配无浏览器终端设备包括智能电视、IoT设备、嵌入式终端、工控设备等无法直接输入账号密码的硬件场景。协议原生流程极简设备端发起授权请求、服务端返回临时设备码与官方验证地址、用户在其他终端访问官网、输入设备码并完成身份校验、最终授权设备登录账号。这套协议为了适配业务便捷性底层舍弃了核心安全校验存在永久性原生短板协议仅校验用户身份合法性完全不校验请求发起方合法性、授权场景合理性、终端设备合规性。只要用户本人完成账号密码验证MFA二次校验微软Entra ID服务端就会无条件下发合法OAuth访问令牌与刷新令牌不会对请求来源、设备属性、使用场景做任何风险判定。EvilTokens正是无限复用了这个原生缺陷实现规模化MFA绕过攻击。3.2 设备码钓鱼整体技术架构1.调用官方接口申请设备码2.返回合法设备码官方验证URL3.推送AES-GCM加密钓鱼诱饵4.本地解密查看社工文案5.跳转微软真实官网输入设备码6.完成企业MFA二次验证7.下发90天长效OAuth令牌8.长期静默调用Graph APIEvilTokens攻击服务端微软Entra ID官方认证接口企业在职员工高仿M365权限过期/设备告警邮箱/文档/Teams/网盘数据批量获取3.3 90天长效令牌的致命入侵风险常规网页登录、客户端登录的会话令牌有效期极短会话过期后必须重新认证异常行为极易被日志捕捉。但设备码授权生成的刷新令牌微软官方默认有效期长达90天且支持自动续期。这意味着攻击者一次社工成功即可获得三个月以上的账号持久化控制权。整个驻留过程无异地登录弹窗、无设备异常提醒、无安全告警、无频繁认证日志所有API调用行为都属于微软合规交互企业管理员无法通过常规后台巡检发现入侵痕迹。LSHIY LLC 78个企业账号批量沦陷、Railway PaaS平台开发者核心数据大规模泄露核心诱因就是长效令牌的静默驻留能力。攻击者长期潜伏企业云环境持续搜刮业务数据、客户资料与内部文档企业完全无法感知入侵行为。四、对抗式审查视角完整复刻真实攻击全流程站在攻击者视角完整还原一次标准EvilTokens攻击链路所有企业可逐条对照自查验证自身租户是否存在同款裸奔风险。第一步攻击者登录EvilTokens商业化后台选择适配国内M365企业的社工模板主流模板包含文档权限过期、异地设备登录预警、账号安全强制核验、企业系统升级验证四类高可信度场景。第二步平台自动对页面全部内容完成AES-GCM加密生成唯一加密静态页面无明文特征、无固定脚本指纹同时批量生成独立访问链接规避批量特征检测。第三步攻击者导入提前搜集的企业员工邮箱、手机号清单通过邮件、企业IM、短信多渠道批量投递诱饵链接覆盖企业全员。第四步企业邮件网关、安全设备扫描加密页面密文无任何违规特征与恶意行为全部放行诱饵成功触达员工终端。第五步员工日常办公状态下点击链接浏览器本地自动解密渲染出和微软官方UI、文案、弹窗风格完全一致的提示页面视觉无差异、逻辑贴合办公场景员工自然信任并点击立即核验。第六步前端操作触发请求EvilTokens服务端实时调用微软Entra ID官方接口申请临时有效设备码并同步跳转至微软官方域名的验证页面全程无任何页面伪造、域名篡改。第七步员工按照页面指引输入设备码同时完成企业配置的短信、验证器APP等MFA二次校验全程为用户自主合法操作。第八步微软认证服务校验通过判定为合规用户授权行为向攻击者服务端下发90天有效OAuth访问令牌与刷新令牌。第九步攻击者依托长效令牌持续调用微软Graph API静默读取员工邮箱邮件、下载业务文档、查看Teams沟通记录、访问企业网盘资源完成数据窃取与长期驻留。整套攻击链路无任何违规操作、无任何伪造行为、无任何可检测攻击特征是典型的合法协议武器化滥用也是目前企业云身份安全最难防御的攻击方式。五、企业实战落地可直接复制的检测脚本与告警规则EvilTokens攻击无恶意域名、无恶意文件、无异常流量传统检测手段全部失效唯一有效检测抓手是监控设备码授权行为。以下所有脚本、查询语句、判定规则均可直接复制落地适配所有M365企业租户。5.1 Azure AD日志Kusto检索脚本排查所有设备码登录记录该脚本可一键筛选租户内所有设备码流授权事件快速排查历史攻击痕迹SigninLogs | where AuthenticationMethod has Device Code Flow | where ResultType 0 | project TimeGenerated, UserPrincipalName, IPAddress, City, State, Country, DeviceDetail | sort by TimeGenerated desc检索结果中除IT运维调试、合规设备测试场景外其余所有普通员工的设备码登录记录均判定为高风险疑似钓鱼行为。5.2 高危入侵判定规则满足任意一条立即核查凌晨、深夜等非工作时段出现设备码授权登录记录境外IP、非企业固定办公IP网段发起设备码授权请求普通行政、业务员工账号首次产生设备码登录日志短时间内同一账号多次重复申请设备码同一外网IP批量触发多名员工设备码授权事件5.3 PowerShell一键注销沦陷账号所有持久化令牌发现异常授权后可通过该脚本强制清空所有会话与长效令牌切断攻击者控制链路# 连接微软Graph权限Connect-Graph-Scopes User.ReadWrite.All,Directory.ReadWrite.All# 填写疑似沦陷员工邮箱$targetUserstaffyourcompany.com# 匹配用户ID并强制注销所有登录会话、刷新令牌$userId(Get-MgUser-Filtermail eq $targetUser).IdRevoke-MgUserSignInSession-UserId$userIdWrite-Host已清除该账号所有OAuth持久化权限攻击者会话已强制失效六、M365终极封堵Entra条件访问零误杀实战配置基于第一性原理风控逻辑无法精准检测的隐形风险直接阻断源头入口。设备码钓鱼的核心根源是微软M365租户默认开放高危OAuth协议绝大多数企业从未主动使用却长期裸奔放行。6.1 全局零误杀封堵策略99.9%企业通用登录微软Entra ID控制台进入「条件访问」模块新建自定义策略策略命名全局封堵高危OAuth设备码流与ROPC攻击适用范围全员用户、全部云应用无特殊豁免找到「授权-自定义授权类型限制」配置项勾选拒绝设备代码流Device Code Flow勾选拒绝资源所有者密码凭据流ROPC保存策略并强制启用无过渡期、无灰度放行该配置对常规办公业务零影响、零误杀。企业日常办公、网页登录、客户端登录、Teams与网盘使用完全不受影响仅关闭两个几乎无用的高危协议彻底封死设备码钓鱼攻击入口。6.2 精细化风控方案适配有IoT/工控设备的企业若企业存在智能设备、嵌入式终端、工控设备需要依赖设备码流完成授权登录不适合全局禁用可采用精细化最小权限管控仅企业固定办公IP网段允许设备码授权请求仅法定工作时段放行设备码登录行为仅IT运维专属用户组拥有设备码授权权限所有非域托管、非企业合规终端直接拦截设备码登录兼顾业务正常运行与安全风控杜绝外部攻击滥用协议入口。七、AES-GCM幽灵钓鱼专项防御体系封堵设备码流可以解决MFA绕过问题但无法拦截加密钓鱼诱饵的投递。针对幽灵钓鱼的加密隐身特性必须放弃传统特征匹配思路搭建全新的结构异常检测体系。网关侧需要升级检测逻辑不再依赖关键词查杀新增页面结构异常检测规则。拦截无明文主体、仅含解密脚本的空白HTML页面拦截高密文、无有效内容的静态单页文件对所有未知加密页面强制启动动态沙箱渲染检测提前识别隐身钓鱼诱饵。身份侧同步加固关闭普通用户自主授权第三方应用的权限所有外部应用接入M365租户必须经过管理员审核确认。缩短OAuth刷新令牌有效期关闭90天长效驻留机制将令牌周期压缩至可控范围降低入侵持久化风险。定期批量清理租户内陌生、非合规的应用授权记录肃清隐形权限漏洞。员工意识是最后一道核心防线企业需统一全员认知微软官方不会通过邮件、链接、文件推送设备码核验、账号安全验证类操作。任何场景下要求输入设备码、完成账号二次核验的外部链接一律判定为钓鱼攻击直接驳回上报。八、企业入侵应急标准SOP可直接落地执行账号即时锁定冻结所有疑似沦陷员工账号阻断账号后续授权与登录行为防止风险扩大令牌彻底清零执行PowerShell脚本清空账号所有OAuth持久化会话与刷新令牌切断攻击者控制链路身份权限重置强制修改账号登录密码重置MFA绑定设备与验证方式杜绝权限复用全量日志回溯检索近90天登录日志、API访问日志、设备授权日志排查入侵时间、访问范围、数据泄露情况批量风险排查检索同IP、同部门、同时间段的员工登录记录排查批量中招风险安全策略补全立即上线高危OAuth协议封堵策略补齐条件访问风控规则风险复盘归档记录攻击路径、入侵原因、处置动作更新企业安全基线与风控策略九、企业顶层安全复盘EvilTokens攻击的大规模爆发暴露了现代企业安全建设的核心误区过度依赖硬件设备、特征库查杀、表层防护忽略了系统默认配置、协议权限、授权机制的底层风控。所有新型隐形攻击的核心都是合法功能的恶意滥用。安全设备可以拦截已知恶意攻击但无法识别合法协议、合法加密、合法接口的异常使用。MFA只是基础身份校验手段绝非安全终点。企业真正的云身份安全底线是最小权限管控、高危协议封堵、异常行为监控、授权链路收缩。主动收缩风险入口远比被动拦截攻击更有效、更稳定。互动提问欢迎评论交流你所在企业的M365租户是否已经关闭高危设备码授权流是否完成过全租户设备码登录日志排查在你的运维和安全工作中还遇到过哪些系统合法功能被恶意滥用的隐蔽攻击场景