订阅型 PhaaS 平台 Forg365 的 M365 双路径钓鱼威胁与全域防御研究 摘要本文以 CSOOnline 刊载的 Forg365 钓鱼即服务平台专题报道为核心实证样本系统拆解该 Telegram 渠道分发的商业化订阅攻击平台完整技术架构、双并行 MFA 绕过攻击链路、AI 诱饵生成、后渗透持久化工具 ForgCookie 扩展程序的运行机理。Forg365 同步集成 AiTM 中间人代理、OAuth 设备代码流两类主流身份劫持技术依托付费订阅模式大幅降低无技术基础攻击者开展规模化 Microsoft 365 钓鱼的准入门槛配套全流程自动化运营面板实现诱饵制作、邮件投放、凭证收割、邮箱监控、会话持久化一体化操作。反网络钓鱼技术专家芦笛指出该平台将 AI 内容生成、双路径 MFA 绕过、长期会话维持、沙箱逃逸反检测功能整合为标准化商业服务打破传统钓鱼工具零散、运维复杂的行业现状对政企云身份安全体系形成复合型威胁。本文区分 AiTM 代理攻击、设备代码流协议滥用两类攻击路径厘清二者防护机制不可互通的底层技术差异配套开发邮件诱饵风险检测、Entra 异常设备码审计、恶意令牌行为监测三段可落地 Python 工程代码构建 “邮件网关前置拦截、Entra 身份策略管控、终端会话异常审计、事件响应标准化处置、人员分层安全运营” 五层闭环纵深防御体系。实证分析证实仅部署单一 TOTP 多因素认证、域名黑名单、静态 URL 检测均无法完整阻断 Forg365 全链路攻击必须同步落地 FIDO2 抗钓鱼认证、设备代码流全局限制、持续访问评估 CAE、OAuth 权限常态化审计多重管控措施。研究客观揭示当前 PhaaS 产业化、AI 赋能、复合攻击并行化的发展趋势相关检测代码、分层防御方案可为企业安全运营团队处置同类订阅式钓鱼平台攻击提供标准化实操依据。关键词Forg365PhaaS 钓鱼即服务AiTM 中间人钓鱼OAuth 设备代码流Microsoft 365身份劫持持久化令牌云身份防御1 引言1.1 研究背景与样本来源2026 年 7 月 14 日 CSOOnline 发布《Phishing for dummies: Forg365 lowers barrier to M365 account takeovers》专项安全报道援引安全厂商 ZeroBEC 完整威胁溯源报告首次完整披露 Forg365 商业化钓鱼即服务平台的全维度运营细节。该平台通过 Telegram 社群对外售卖订阅权限提供 5 天免费试用月度订阅费用 400 美元、年度订阅 3800 美元面向零基础黑产人员封装全套 M365 攻击工具链无需攻击者自主搭建代理、OAuth 应用、邮件投递基础设施。Forg365 具备区别于传统 Evilginx、Kali365 类开源钓鱼套件的核心特征一是原生集成 AI 诱饵生成模块自动生成仿 DocuSign、Adobe 签约、SharePoint、OneDrive 等企业高频业务场景钓鱼邮件二是内置双攻击路径智能分流机制依据访客指纹、网络环境自动切换 AiTM 中间人代理、OAuth 设备代码流两种绕过 MFA 方案三是配套 ForgCookie 浏览器扩展程序实现劫持令牌自动刷新即便受害者修改账户密码攻击者仍可长期维持账户访问权限四是集成沙箱逃逸反检测逻辑识别安全研究人员、自动化沙箱访问时自动跳转无害诱饵页面规避威胁样本捕获。报道记录多起 Forg365 规模化攻击真实受害案例跨国企业财务员工接收 AI 生成的付款审批钓鱼邮件经设备代码流流程授权攻击者恶意会话企业数十万对公资金遭受 BEC 商业邮件诈骗科技公司 IT 运维人员点击 AiTM 代理钓鱼链接云账户会话 Cookie 被劫持攻击者批量导出内部研发文档并横向扩散同源钓鱼载荷至全公司通讯录。反网络钓鱼技术专家芦笛指出Forg365 标志着云身份钓鱼正式进入标准化工业产品阶段以往攻击者需要分别搭建代理服务器、申请 OAuth 应用、开发邮件群发脚本、编写令牌持久化工具如今通过单一订阅面板即可完成全部操作AI 辅助内容生成进一步压缩诱饵制作周期攻击技术门槛下降至零基础水平政企云账户劫持事件将持续攀升。1.2 现有研究存在的结构性短板当前网络钓鱼、PhaaS 相关公开研究存在三点明显局限性难以适配 Forg365 复合型双路径攻击的防护需求第一技术路径研究割裂多数文献单独分析 AiTM 中间人代理或设备代码流钓鱼单一技术未针对 Forg365 平台智能切换两种攻击手段的特性开展对比研究缺少差异化并行防护策略第二后渗透持久化技术研究不足现有资料多聚焦凭证劫持环节针对 ForgCookie 扩展程序自动刷新会话、长期维持账户访问的机理、检测手段、处置流程缺乏完整实证分析第三工程化落地能力缺失现有防御建议多为宏观策略指引缺少可集成于邮件网关、Entra 日志平台、终端安全客户端的自动化检测代码无法支撑企业规模化安全运营。本文以 CSOOnline 报道披露的 Forg365 平台全部组件、攻击流程、运营模式为核心实证素材补充 ZeroBEC 原始威胁调查数据完整拆解平台模块化架构、双路径攻击杀伤链、AI 诱饵生成逻辑、ForgCookie 持久化机制配套三段自动化风险检测代码构建五层全域闭环防御体系弥补现有研究复合攻击分析缺失、实操落地内容不足的缺陷。1.3 论文整体行文结构本文共设置六大核心一级章节第 2 章完整解析 Forg365 平台模块化架构、商业化运营模式、核心功能组件第 3 章分模块拆解 AiTM 代理、OAuth 设备代码流两条并行攻击链路对比两类攻击绕过 MFA、规避检测的底层技术差异第 4 章剖析 ForgCookie 持久化扩展程序工作原理与账户劫持后渗透全流程第 5 章结合反网络钓鱼技术专家芦笛的分层防御研判配套三段 Python 自动化检测代码搭建五层纵深防御体系同步给出攻击事件标准化应急处置流程第 6 章归纳全文核心研究结论客观预判 PhaaS 平台复合攻击演化趋势说明研究样本局限。2 Forg365 订阅型 PhaaS 平台架构与黑产运营模式2.1 平台商业化分发与订阅体系Forg365 依托 Telegram 私密社群完成客户引流、权限售卖、售后技术支持完整商业化链路分为三层平台运营者维护后端服务器、钓鱼模板库、AI 内容生成接口付费订阅客户通过专属账号登录 Web 管理面板开展钓鱼活动下游变现团伙采购劫持的 M365 账户凭证实施资金诈骗、数据倒卖。订阅权限分级清晰免费试用版开放基础诱饵生成、设备代码流基础功能限制邮件批量发送数量月度 / 年度付费订阅解锁全部功能AiTM 代理服务器调度、沙箱逃逸反检测、ForgCookie 令牌刷新工具、劫持邮箱实时监控、批量子域名自动申请、高权限 OAuth 应用模板。CSOOnline 报道明确平台运营者通过标准化服务降低客户技术门槛客户无需掌握 Go 代理开发、OAuth 协议交互、邮件 SMTP 批量投递等底层技术仅需在可视化面板选择业务诱饵模板、填写目标企业域名即可一键启动规模化钓鱼活动。2.2 Forg365 核心模块化功能组件平台 Web 管理面板集成七大独立功能模块各模块数据互通形成完整攻击流水线全部组件由平台后端统一运维客户仅做参数配置2.2.1 AI 诱饵自动生成模块该模块为 Forg365 区别于传统开源钓鱼套件的核心竞争力内置企业公文、付款审批、文档签署、账户安全预警四类基础话术模板客户输入目标企业名称、部门类型后AI 自动生成高度贴合企业业务场景的钓鱼邮件正文自动替换企业 LOGO、部门称谓、业务术语降低人工制作诱饵的时间成本。反网络钓鱼技术专家芦笛强调AI 生成的钓鱼文本句式自然、无固定模板特征传统邮件网关关键词静态匹配规则难以识别拦截是当前企业邮件安全的核心盲区。2.2.2 双路径攻击智能分流引擎引擎内置访客指纹识别逻辑读取访问者 IP 归属地、终端浏览器指纹、是否开启 VPN、访问设备类型自动判定投放 AiTM 代理页面或设备代码流诱导页面若检测到安全厂商沙箱、境外研究 IP直接跳转无害空白页面实现逃逸若访客为企业办公网段常规终端优先投放 AiTM 中间人代理页面若 AiTM 路径检测到企业部署 FIDO2 抗钓鱼密钥则自动切换设备代码流攻击路径。2.2.3 AiTM 反向代理调度模块平台预部署分布式代理服务器集群客户创建钓鱼任务后引擎自动分配闲置节点生成仿冒域名内置 URL 重写、SRI 校验清除、会话 Cookie 长周期配置等反检测改造逻辑实时中继受害者与微软官方登录服务器的全部流量完整捕获账号、MFA 验证数据、长期刷新令牌。2.2.4 OAuth 设备代码调度模块批量调用微软 Entra ID 设备代码官方接口预生成海量 user_code 与 device_code 配对缓存至后端数据库每条验证码绑定单一钓鱼任务诱饵邮件嵌入专属短码受害者跳转微软官方microsoft.com/devicelogin页面完成授权后后端持续轮询令牌接口捕获高权限离线刷新令牌。2.2.5 凭证与劫持邮箱监控模块所有捕获的访问令牌、刷新令牌、会话 Cookie 统一存入加密数据库面板实时展示每一条劫持账户的登录记录、邮件往来支持设置关键词告警一旦受害者邮箱出现发票、转账、合同等财务敏感词汇立即推送告警至攻击者 Telegram 账号同时提供密码保护的共享链接攻击者可将劫持邮箱只读权限分发给下游变现团伙。2.2.6 邮件批量投递模块内置多组 SMTP 发信通道集成仿冒企业发件人域名配置、邮件头部伪装、附件批量生成功能支持单次任务向数千企业员工邮箱同步投放钓鱼载荷。2.2.7 后渗透工具分发模块面板内置 ForgCookie 浏览器扩展程序安装包、恶意 OAuth 应用配置模板、XEOX 类 RMM 远程控制工具下载入口客户账户劫持完成后可一键下载配套持久化工具实现云账户入侵向终端内网渗透延伸。2.3 平台规避安全检测核心机制Forg365 内置多层沙箱逃逸、流量混淆逻辑大幅提升安全设备样本捕获难度访客指纹过滤检测自动化爬虫、安全厂商 IP、虚拟机浏览器指纹直接返回无风险空白页面避免钓鱼样本被收录至威胁情报库动态域名轮换自动批量申请泛域名 SSL 证书每日生成全新子域名投放钓鱼载荷静态域名黑名单拦截效能大幅下降流量分层混淆AiTM 代理流量增加随机延迟、模拟真人鼠标点击行为规避邮件网关、Web 防火墙行为特征检测设备代码流无恶意页面全程复用微软官方域名无仿冒登录页面网页安全检测工具无法识别恶意访问行为。3 Forg365 双并行 MFA 绕过攻击完整杀伤链拆解Forg365 同时提供 AiTM 中间人代理、OAuth 设备代码流两类独立攻击路径二者底层技术原理、MFA 绕过逻辑、防护手段完全隔离企业单一防护策略无法同时阻断两条攻击链路是该平台复合型威胁的核心来源。3.1 路径一AiTM 中间人代理劫持攻击流程3.1.1 底层代理运行逻辑平台分布式代理服务器作为中间人完整转发受害者浏览器与login.microsoftonline.com之间的全部 HTTP/HTTPS 流量页面原样返回至受害者终端攻击者在流量中转节点无感知截取账号密码、TOTP / 推送 MFA 验证结果、会话 Cookie、离线刷新令牌。传统短信、App 推送、软件令牌类 MFA 可被实时中继仅 FIDO2/WebAuthn 通行密钥可通过域名绑定密码学机制阻断该攻击。3.1.2 完整攻击杀伤链诱饵投递客户在 Forg365 面板选择付款审批、文档签署模板AI 自动生成钓鱼邮件通过内置 SMTP 通道批量发送至目标企业员工流量分流判定员工点击邮件内仿冒域名链接平台分流引擎检测终端无 FIDO2 密钥特征跳转 AiTM 代理页面流量中继登录代理转发全部登录请求至微软官方身份服务受害者输入账号密码、完成 MFA 验证全部认证数据实时同步至攻击者后台凭证持久化存储代理拦截服务器下发的长期会话 Cookie、refresh_token存入平台加密数据库账户接管攻击者直接使用劫持 Cookie 登录 M365 邮箱、OneDrive、Teams无需重复完成 MFA 校验横向扩散与后渗透利用劫持账户向企业全员推送同源钓鱼邮件同时分发 ForgCookie 扩展程序维持长期会话投放 RMM 工具入侵终端。3.2 路径二OAuth 2.0 设备代码流协议滥用攻击流程该路径不伪造任何微软登录页面依托 RFC 8628 设备授权原生流程完成令牌劫持可绕过 FIDO2 通行密钥防护是 Forg365 针对部署抗钓鱼 MFA 企业的备用攻击手段。3.2.1 协议原生安全缺陷设备代码流设计初衷为无输入硬件设备会议室 Teams 设备、IoT 终端、命令行工具协议仅校验验证码与用户身份匹配不校验发起授权请求设备的可信性授权默认授予offline_access离线刷新权限令牌有效期长达数月即便受害者修改账户密码未部署 CAE 持续访问评估策略的租户中攻击者仍可循环刷新会话维持访问。3.2.2 平台自动化攻击核心 Python 模拟代码该代码复刻 Forg365 后端设备码调度、令牌轮询核心逻辑贴合 ZeroBEC 披露的平台接口交互流程import requestsimport time# 微软官方设备代码授权接口DEVICE_CODE_URL https://login.microsoftonline.com/common/oauth2/devicecodeTOKEN_POLL_URL https://login.microsoftonline.com/common/oauth2/token# Forg365平台注册的恶意OAuth客户端IDMAL_CLIENT_ID forg365-mal-oauth-app-001# 申请全权限访问范围包含离线刷新令牌SCOPE Mail.ReadWrite Files.ReadWrite.All offline_access User.Read.Alldef batch_generate_device_codes(target_count: int) - list:Forg365批量生成设备验证码缓存至后端数据库code_list []for _ in range(target_count):req_data {client_id: MAL_CLIENT_ID,scope: SCOPE}resp requests.post(DEVICE_CODE_URL, datareq_data, timeout10)res_json resp.json()code_list.append({user_code: res_json[user_code],device_code: res_json[device_code],verify_uri: res_json[verification_uri],poll_interval: res_json[interval]})return code_listdef poll_stolen_token(device_code: str, poll_interval: int):持续轮询令牌接口等待受害者完成官方页面授权while True:time.sleep(poll_interval)token_params {grant_type: urn:ietf:params:oauth:grant-type:device_code,client_id: MAL_CLIENT_ID,device_code: device_code}token_resp requests.post(TOKEN_POLL_URL, datatoken_params, timeout8)token_data token_resp.json()# 受害者完成授权捕获刷新令牌if refresh_token in token_data:# 推送令牌至Forg365数据库与攻击者Telegram机器人save_token_to_db(token_data[refresh_token])start_auto_refresh_task(token_data[refresh_token])return token_data# 用户未授权持续循环轮询continue# 模拟Forg365平台批量生成验证码并启动轮询任务if __name__ __main__:batch_codes batch_generate_device_codes(50)for code_info in batch_codes:# 异步启动令牌轮询线程poll_stolen_token(code_info[device_code], code_info[poll_interval])反网络钓鱼技术专家芦笛对代码逻辑补充说明Forg365 后端会为每一条钓鱼任务单独生成独立 device_code避免多任务验证码混淆同时后台常驻自动刷新任务持续延长劫持令牌生命周期实现账户长期无感知接管。3.2.3 设备代码流完整杀伤链任务配置攻击者在 Forg365 面板选择设备代码攻击模式AI 生成 “账户安全核验、文档解锁” 类诱导邮件批量预生成验证码后端调用微软接口批量生成 user_code嵌入钓鱼邮件正文诱导官方授权邮件提示用户访问microsoft.com/devicelogin输入短码完成业务解锁页面为微软原生官方页面用户全流程验证受害者录入账号、密码、FIDO2 通行密钥 / MFA 完成授权确认令牌劫持平台轮询接口捕获 access_token 与长效 refresh_token存入加密数据库静默数据窃取攻击者调用 Microsoft Graph API 读取企业邮件、财务文件监控往来转账信息策划 BEC 诈骗。3.3 两条攻击路径防护失效差异化对比两类攻击依托完全不同的技术支点防护手段无法互通单一安全管控措施仅能阻断其中一条路径存在明显防护盲区AiTM 中间人代理攻击TOTP、短信 MFA 完全失效FIDO2 通行密钥可完整阻断设备代码流限制策略无任何防护作用OAuth 设备代码流攻击FIDO2 通行密钥无法拦截仅通过 Entra 条件访问全局限制设备代码流可阻断域名黑名单、Web 页面检测无识别能力。反网络钓鱼技术专家芦笛强调Forg365 平台智能切换攻击路径的设计意味着企业必须同步部署两套差异化防护策略仅落地 FIDO2 或仅限制设备代码流均会保留完整攻击入口。4 ForgCookie 持久化扩展程序与后渗透全链路分析Forg365 区别于传统钓鱼套件最具威胁的配套工具为 ForgCookie Chromium 浏览器扩展专门用于劫持令牌自动刷新大幅提升事件响应止损难度是本次 CSOOnline 报道重点披露的后渗透持久化核心组件。4.1 ForgCookie 扩展程序底层运行流程数据拉取扩展程序启动后主动连接 Forg365 后端接口拉取已劫持账户的 refresh_token 与账户基础信息本地会话清理自动清除浏览器内全部微软官方域名原有 Session Cookie消除合法会话冲突静默 OAuth 重刷新携带劫持的 refresh_token 调用微软令牌刷新接口发起无交互静默登录流程新会话劫持存储捕获接口下发的全新访问 Cookie、刷新令牌自动注入浏览器login.microsoftonline.com域下存储循环维持会话后台设置定时任务每小时自动刷新一次令牌持续更新有效会话凭证权限复用依托持久会话直接访问受害者邮箱、云盘、Teams无需重复身份验证。4.2 密码重置无法止损的核心机理常规企业安全处置逻辑为发现账户泄露后强制重置用户密码但 ForgCookie 依托离线 refresh_token 实现持久访问微软身份平台密码重置操作不会作废已下发的离线刷新令牌仅部署 CAE 持续访问评估策略的租户可在令牌跨陌生 IP 使用时实时终止会话无 CAE 管控的企业中攻击者可维持数月账户访问权限。4.3 完整后渗透杀伤链会话持久化攻击者安装 ForgCookie 扩展长期维持劫持账户登录权限账户权限篡改修改邮箱自动转发规则、新增外部委托访问权限即便会话失效仍可持续接收企业内部邮件恶意设备注册在受害者 Entra 账户注册命名含 “Forg365” 标识的恶意设备新增攻击者可控的认证器应用、通行密钥内网横向渗透通过劫持邮箱分发携带 XEOX RMM 工具的钓鱼附件入侵员工终端实现内网横向移动数据变现批量导出企业财务合同、客户信息向第三方黑产团伙出售账户只读访问权限牟利。4.4 异常入侵识别指标IOC基于 ZeroBEC 溯源数据Forg365 攻击留下标准化可审计日志特征可作为自动化检测规则依据Entra 登录日志中出现名称前缀为 “Forg365” 的注册设备短时间内同一账户来自多个境外陌生 IP 的静默无交互令牌刷新请求账户新增未知 OAuth 第三方应用申请Mail.ReadWrite.All等高权限范围邮箱新增未授权自动转发、外部代理访问规则终端浏览器安装来源不明的 Chromium 扩展程序后台持续请求微软令牌刷新接口。5 面向 Forg365 复合攻击的五层闭环防御体系与检测代码结合 CSOOnline 报道给出的安全建议叠加反网络钓鱼技术专家芦笛提出的分层纵深防御思路构建覆盖邮件网关、Entra 身份管控、终端审计、事件响应、人员运营的五层全域防护模型配套三段可落地 Python 自动化检测代码实现攻击前置拦截、事中监测、事后快速处置闭环。5.1 第一层邮件网关前置诱饵拦截阻断 Forg365 载荷投递从源头拦截 AI 生成的双路径钓鱼邮件搭建多维度复合检测规则AI 文本语义识别模块部署大模型语义检测识别仿企业付款、文档签署、账户核验类 AI 生成标准化钓鱼话术双载体特征检测同时识别 AiTM 仿冒域名短链接、设备代码流钓鱼邮件内的 6 位数字验证码诱导内容发件人信誉加权评分仿冒企业内部域名、免费邮箱发送业务审批类邮件直接标记高危隔离短链接全局阻断黑名单收录 bit.ly、tinyurl 等所有 Forg365 平台使用的短链接服务商拦截全部跳转至钓鱼页面的短链接载荷。代码一Forg365 钓鱼邮件诱饵风险检测脚本脚本解析邮件 HTML 与正文文本识别 AI 诱导话术、设备验证码、仿冒业务关键词适配邮件网关批量筛查场景import re# Forg365平台高频钓鱼诱导关键词库源自CSOOnline攻击样本RISK_KEYWORDS [付款审批, 发票核验, 文档解锁, 账户安全验证,设备验证码, microsoft.com/devicelogin, 账号冻结,签署文件, SharePoint文档查看, OneDrive共享权限]# 匹配6位数字设备验证码正则Forg365设备码攻击核心特征DEVICE_CODE_REG re.compile(r\b[0-9A-Z]{6}\b)# 仿冒企业域名特征正则FAKE_DOMAIN_REG re.compile(rmicrosoft-verify|secure-office365|docu-sign-fake)def detect_forg365_mail(mail_subject: str, mail_body: str) - dict:检测Forg365平台生成的钓鱼邮件风险特征:param mail_subject: 邮件标题文本:param mail_body: 邮件正文完整文本:return: 风险评分、风险等级、匹配特征明细full_text mail_subject mail_bodyrisk_score 0risk_details []# 1. 匹配钓鱼诱导关键词for keyword in RISK_KEYWORDS:if keyword in full_text:risk_score 20risk_details.append(f匹配钓鱼诱导关键词{keyword})# 2. 检测6位设备验证码设备代码流攻击标识code_matches DEVICE_CODE_REG.findall(full_text)if len(code_matches) 0:risk_score 35risk_details.append(f正文检测到设备验证码数量{len(code_matches)})# 3. 检测AiTM仿冒钓鱼域名fake_domain_matches FAKE_DOMAIN_REG.findall(full_text)if len(fake_domain_matches) 0:risk_score 30risk_details.append(正文包含仿冒微软业务钓鱼域名)# 4. 判定风险等级if risk_score 60:risk_level 高危直接隔离至垃圾邮件隔离区elif risk_score 30:risk_level 中风险添加红色风险提示人工复核else:risk_level 低风险无Forg365钓鱼特征return {risk_score: risk_score,risk_level: risk_level,risk_detail: risk_details}# 测试调用示例if __name__ __main__:test_subject 【付款审批】请扫码完成账户核验解锁文档test_body 请访问microsoft.com/devicelogin输入验证码 7A29FD完成审批逾期账户将冻结result detect_forg365_mail(test_subject, test_body)print(邮件Forg365风险检测报告)for k, v in result.items():print(f{k}: {v})5.2 第二层Microsoft Entra ID 身份策略管控阻断两类攻击核心链路该层为防护体系核心同步配置两套差异化管控策略分别阻断 AiTM 代理、设备代码流攻击路径5.2.1 阻断设备代码流攻击策略配置流程资产盘点导出 Entra 登录日志梳理企业合法使用设备代码流的资产会议室 Teams 硬件、运维 CLI 工具建立白名单应用与 IP 网段全局条件访问阻断针对全部用户、全部云应用拦截设备代码授权流程仅对白名单设备开放例外权限启用设备代码访问告警陌生 IP、境外网段发起设备码请求时实时推送安全告警至运营平台。5.2.2 阻断 AiTM 中间人代理攻击策略配置流程全域强制 FIDO2 通行密钥所有员工登录 M365 邮箱、云盘、Teams 必须使用硬件安全密钥或平台绑定通行密钥TOTP、短信 MFA 仅作为辅助手段不可单独完成认证启用 CAE 持续访问评估Exchange Online、SharePoint、Teams 开启令牌实时重校验劫持令牌跨陌生 IP、异地访问时立即失效位置条件访问管控仅允许企业办公网、可信 VPN 网段完成完整登录验证境外 IP 登录强制二次人工审核。代码二Entra 异常设备代码授权审计脚本读取 Entra 登录日志筛选 Forg365 平台发起的高风险设备码授权事件输出风险告警清单import json# 企业合法设备代码流客户端白名单WHITELIST_APPS [TeamsRoomDevice, AzureCLI, PowerShellGraph]# 微软Office桌面客户端IDForg365高频异常标识OFFICE_CLIENT_ID d3590ed6-52b3-4102-aeff-aad2292ab01cdef audit_device_code_risk_signin(log_file_path: str) - list:审计Entra登录日志识别Forg365设备代码钓鱼风险事件risk_events []with open(log_file_path, r, encodingutf-8) as f:signin_logs json.load(f)for log in signin_logs:# 仅筛选原始认证方式为设备代码流的登录事件auth_method log.get(OriginalTransferMethod, )if auth_method ! DeviceCodeFlow:continueuser_upn log.get(UserPrincipalName, )client_app_id log.get(ClientAppId, )login_ip log.get(IpAddress, )login_country log.get(Location, {}).get(CountryOrRegion, )create_time log.get(CreatedDateTime, )# 判定高风险场景risk_flag Falsealert_msg []if client_app_id not in WHITELIST_APPS:risk_flag Truealert_msg.append(客户端未录入企业可信白名单)if client_app_id OFFICE_CLIENT_ID:risk_flag Truealert_msg.append(桌面客户端发起设备码请求业务场景异常)if login_country not in [CN, 国内可信地区编码]:risk_flag Truealert_msg.append(f境外IP发起设备码授权{login_ip})if risk_flag:risk_events.append({登录时间: create_time,目标账户: user_upn,访问IP: login_ip,风险描述: .join(alert_msg),风险等级: 高风险-疑似Forg365设备代码钓鱼授权})# 批量打印风险审计结果for event in risk_events:print(json.dumps(event, ensure_asciiFalse, indent2))return risk_eventsif __name__ __main__:audit_device_code_risk_signin(entra_signin_log.json)反网络钓鱼技术专家芦笛强调审计时必须读取OriginalTransferMethod原始认证字段仅依靠当前登录协议会遗漏历史设备码授权产生的令牌刷新行为造成漏报。5.3 第三层终端安全审计与 ForgCookie 持久化工具查杀针对 ForgCookie 扩展程序、恶意注册设备、RMM 后门搭建终端常态化检测机制配套 PowerShell 终端查杀脚本powershell# Windows终端ForgCookie恶意扩展、未知设备巡检脚本# 1. 检索Chromium浏览器未知扩展程序$ext_path $env:LOCALAPPDATA\Microsoft\Edge\User Data\Default\ExtensionsGet-ChildItem $ext_path -Recurse | Where-Object {Get-Content $($_.FullName)\manifest.json -ErrorAction SilentlyContinue | Select-String ForgCookie} | ForEach-Object {Write-Host 检测到恶意ForgCookie扩展路径$($_.FullName)Remove-Item $_.FullName -Recurse -Force}# 2. 检索命名含Forg365的恶意注册设备Connect-MgGraph -Scopes Device.Read.AllGet-MgDevice | Where-Object {$_.DisplayName -match Forg365} | ForEach-Object {Write-Host 发现攻击者注册恶意设备$($_.DisplayName)Remove-MgDevice -DeviceId $_.Id -Confirm:$false}# 3. 检索未知邮箱转发规则Get-MgUserMailboxSetting -All | Where-Object {$_.ForwardingAddress -ne $null} | ForEach-Object {Write-Host 账户存在未授权邮件转发规则$($_.UserPrincipalName)Set-MgUserMailboxSetting -UserId $_.UserPrincipalName -ForwardingAddress $null}企业终端管理平台可定时推送该脚本全网巡检清除 ForgCookie 扩展、恶意设备、异常转发规则阻断后渗透持久化链路。5.4 第四层Forg365 攻击标准化事件响应处置流程若监测到 Forg365 平台造成账户泄露安全运营团队严格执行五步处置流程最大程度缩小损失范围会话强制终止在 Entra 后台撤销目标账户全部刷新令牌、终止所有活跃登录会话启用 CAE 实时阻断跨 IP 令牌复用权限清理删除所有未知第三方 OAuth 应用、撤销外部邮箱转发、移除命名含 Forg365 的恶意注册设备凭证重置强制受害者修改账户密码重置所有 MFA 认证方式、通行密钥终端全网巡检推送终端查杀脚本清除 ForgCookie 扩展、RMM 远程控制工具全域告警与加固向全企业推送同类钓鱼预警临时收紧条件访问管控策略同步更新邮件网关检测规则。5.5 第五层分层人员安全运营与专项培训技术防护无法完全消除社会工程诱导风险针对 Forg365 双路径攻击设计差异化安全培训内容岗位分层培训财务、人事、IT 运维等高权限岗位重点讲解设备代码流钓鱼识别逻辑区分 “自主发起硬件设备登录” 与 “陌生邮件诱导输入验证码” 两类场景普通员工重点科普 AiTM 仿冒域名识别方法周期性红蓝对抗演练安全团队定期投放 Forg365 仿真钓鱼邮件同时包含设备代码诱导、AiTM 仿冒链接两类载荷统计员工点击、扫码授权转化率针对高风险人员一对一辅导标准化操作规范落地企业内部明确制度任何业务审批、账户核验不得通过邮件内链接、数字验证码完成必须手动输入官方域名登录 M365 后台办理。6 结论与 PhaaS 平台复合攻击演化趋势预判6.1 全文核心研究结论第一Forg365 作为成熟订阅型 PhaaS 平台依托 Telegram 商业化分发、AI 诱饵自动生成、AiTM 设备代码流双路径智能切换、ForgCookie 令牌持久化工具构建零门槛全链路 M365 钓鱼流水线区别于传统零散开源钓鱼套件具备产业化、标准化、复合攻击并行的核心威胁特征CSOOnline 报道披露的真实攻击样本证实该平台可同时突破 TOTP MFA、静态域名黑名单、基础网页安全检测多重传统防护。反网络钓鱼技术专家芦笛总结单一安全管控措施仅能阻断其中一条攻击路径企业必须同步落地 FIDO2 抗钓鱼认证、设备代码流全局限制两套核心策略才能消除双重攻击入口。第二ForgCookie 扩展程序依托 OAuth 离线刷新令牌机制突破密码重置止损逻辑大幅提升事件响应处置难度攻击者可长期维持劫持账户访问权限同步篡改邮箱转发、注册恶意设备实现多层持久驻留入侵危害从短期账户泄露延伸至长期内网渗透、商业邮件诈骗。终端扩展查杀、OAuth 权限常态化审计、CAE 持续访问评估是阻断该后渗透链路的核心手段。第三本文配套三段自动化检测代码分别覆盖邮件诱饵筛查、Entra 设备码授权审计、终端恶意工具巡检可直接集成于企业邮件网关、云身份日志平台、终端安全客户端将 Forg365 攻击人工识别规则转化为机器自动化判定逻辑弥补现有安全设备针对复合型 PhaaS 平台攻击的检测空白。第四五层闭环纵深防御体系实现 “载荷投递拦截 - 身份协议管控 - 终端持久化清除 - 事件标准化处置 - 人员安全运营” 全链路防护技术管控与人员培训相互兜底消除单一防护手段存在的安全盲区适配 Forg365 双路径并行攻击的复合型威胁特征。6.2 钓鱼即服务平台演化趋势预判AI 深度赋能全流程开发后续 PhaaS 平台将实现诱饵邮件、仿冒页面、自动化运维脚本端到端 AI 生成钓鱼内容逼真度持续提升静态关键词检测规则失效范围扩大多攻击技术融合常态化更多商业化 PhaaS 平台同步集成 AiTM、设备代码流、Quishing 二维码钓鱼、RMM 终端后门多类攻击手段智能切换最优攻击路径企业防护复杂度持续上升基础设施隐蔽性持续增强平台采用容器化临时云主机、动态轮换域名、无服务器代理节点静态 IP / 域名黑名单拦截效能持续下降防护重心必须向身份协议、终端行为、动态行为审计转移定向行业付费定制服务扩张PhaaS 运营者推出金融、制造、政务行业专属订阅套餐内置贴合行业业务场景的定制诱饵模板定向高价值政企租户开展精准规模化钓鱼。6.3 研究客观局限性本文核心实证素材来源于 CSOOnline 公开报道与 ZeroBEC 配套威胁调查数据样本以欧美企业 Forg365 攻击活动为主国内同类订阅式 PhaaS 平台实战样本覆盖不足配套检测代码为概念验证版本大规模企业生产环境部署需结合海量威胁情报库、机器学习语义模型优化误报率针对 ForgCookie 扩展程序浏览器底层令牌注入机制的深度逆向分析有限相关终端检测规则仍可依托更多逆向样本进一步完善。后续可结合国内反诈、政企安全厂商公开威胁样本扩充数据来源优化检测脚本多维度风险加权模型完善复合型 PhaaS 攻击的全域防御体系。结语云办公场景下 Microsoft 365 承载企业核心财务、客户、研发数据以 Forg365 为代表的订阅型 PhaaS 钓鱼即服务平台通过 AI 赋能、双路径 MFA 绕过、长期会话持久化技术大幅降低规模化云账户劫持的技术门槛对政企云身份安全体系形成复合型持续性威胁。CSOOnline 专项报道完整还原 Forg365 平台商业化运营、模块化攻击组件、完整杀伤链与后渗透持久化机理为安全研究提供完整可溯源的黑产实战样本。传统网络钓鱼防护体系多针对单一 AiTM 代理或文本链接钓鱼构建规则无法适配 Forg365 同步并行两条完全隔离攻击路径的特性存在显著结构性防护盲区。本文搭建的五层闭环纵深防御体系同步覆盖邮件前置拦截、Entra 身份协议管控、终端恶意工具审计、标准化应急响应、场景化人员安全培训配套三段可落地自动化检测代码区分 AiTM 中间人、OAuth 设备代码流两类攻击制定差异化管控策略补齐现有防护方案无法应对复合并行攻击、实操落地内容不足的短板。黑灰产依托 Telegram 社群商业化运营 PhaaS 平台的模式持续成熟AI 辅助开发、多攻击技术融合将成为下一代钓鱼服务的标准配置静态黑名单、一次性安全培训、单一 MFA 防护均无法长效抵御此类威胁。企业安全运营团队需持续跟踪商业化钓鱼平台新型攻击组件迭代邮件、云身份、终端多层自动化检测规则动态调整 Entra 条件访问管控策略持续缩小云身份攻击面构建能够抵御多路径并行劫持攻击的长效身份安全防护机制。编辑芦笛公共互联网反网络钓鱼工作组