威脅情報簡報：Kali365入侵後的因應機制

第一階段：會期劫持與持久化防禦

Kali365 攻擊行動的真正危害，始於毫無防備的使用者完成看似合法的 Microsoft 365 登入挑戰「之後」。一旦跨越了 MFA 門檻，該犯罪框架便會執行多階段的持久化（Persistence）劇本：

• 即時會期萃取（turnkey Session Extraction）： Kali365 會即時捕獲產生的 OAuth 重新整理權杖（Refresh Tokens）與會期 Cookie。這些憑證會被直接輸送到隨附的桌面工具中，使威脅份子能夠根據需求隨時派生出活躍的瀏覽器會期，而無需觸發全新的身分驗證提示。
• 濫用自助式密碼重設（SSPR）： 憑藉著掌握的作用中會期，攻擊者經常會觸發租戶的 SSPR 工作流。由於既有的會期權杖在密碼變更後依然長期有效，當防禦系統還在因同步延遲而落後時，攻擊者仍能保有長達 24 小時的作用中租戶存取權。
• 惡意註冊未授權設備： 攻擊者利用合法的會期狀態，直接在 Microsoft 365 租戶中註冊全新的未授權端點。藉由將他們自己的硬體註冊為受管且合規的企業資產，未來的惡意存取將能直接繼承更高基準線的政策信任。

第二階段：內部偵察與環境資產發現

一旦鞏固了持久化防禦，Kali365 就會轉化為靜默的資料探勘工具，用以對映目標組織的內部架構與信任關係：

日誌監控盲區： 對企業的資安維運中心（SOC）而言，這種入侵後的資產發現流量與一般員工的日常活動無異，因為它使用的是來自受信任內部網路足跡的合法權權杖。

• 自動化目錄列舉： 該框架會系統性地搜刮全域通訊錄（GAL），以對映出管理架構、財務審批鏈、關鍵利益關係人以及外部供應鏈合作夥伴。
• 跨平台資料挖掘： 透過自動化腳本搜刮可存取的 Exchange 信箱、Microsoft Teams 頻道、SharePoint 儲存庫和 OneDrive 分享資料夾，以定位敏感文件與內部通訊模式。
• 惡意信箱管理： 在執行資產發現的同時，Kali365 會同步建立隱蔽的收件匣規則。凡是包含防禦性詞彙（例如：「資安警報」、「未授權登入」、「密碼重設」）的入站電子郵件，都會被瞬間路由至隱藏資料夾或直接清除，從而有效地遮蔽受害者，使其對正在發生的侵害毫無察覺。

第三階段：惡意利用與橫向特權提升

在對企業生態系統有了深入洞察後，該框架便會觸發具備高衝擊性的變現與特權提升向量：

防禦姿態轉型：跨越初始點擊的防線

防禦者必須承認，僅僅守住身分驗證邊界已不再足夠。當對手透過合法的代理權權杖進行維運時，若只依賴邊界阻斷或 URL 下架，註定會以失敗收場。資安維運必須轉向主動、激進的內部威脅獵捕，並高度聚焦於驗證後的異常遙測分析。

後續剖析框架預告

本系列技術專題將繼續深入探討以下兩個關鍵領域的威脅矩陣：

1. 對手的基礎設施： 深入透視 Kali365 營運者如何建立、維護和擴張其基礎設施，以鎖定託管服務供應商（MSP）和企業生態系統。
2. 偵測與緩解藍圖： 交付實用的威脅獵捕劇本、遙測查詢指令以及政策硬化步驟，旨在隔離權權杖濫用，並揪出已在租戶內部槓桿相同工具和介面進行活動的攻擊者。