文章总结： 本文深度分析伊朗关联组织针对中东云环境的大规模密码喷洒攻击技术，揭示其通过Tor/VPN轮换IP、低频次试探、滥用OAuth2.0协议等方式规避传统防御。攻击主要影响以色列和阿联酋的300余组织，利用季节化弱口令字典实现精准入侵。防御建议包括启用UEBA行为检测、全局MFA、强化密码策略及API级日志监控。 综合评分： 92 文章分类： 渗透测试,威胁情报,云安全,漏洞分析,安全建设

---

密码喷洒攻击深度技术解析：伊朗关联组织针对中东云环境的定向入侵战术与防御对抗

原创

ZM ZM

暗镜

2026年4月10日 06:00 北京

在小说阅读器读本章

去阅读

摘要

近期伊朗关联威胁组织针对中东地区云环境发起的大规模密码喷洒（Password Spray）攻击行动，以 Microsoft 365 等主流云平台为核心目标，该行动主要针对以色列和阿联酋，影响了以色列的300多个组织和阿联酋的25多个组织。与同一行动者相关的活动也针对欧洲、美国、英国和沙特阿拉伯的少数目标。。该攻击并非传统暴力破解，而是依托匿名网络、代理资源、低频次试探与身份协议滥用，形成一套隐蔽性极强、对抗性极高的入侵链路。本文结合该事件技术细节，从攻击原理、流量特征、身份协议利用、基础设施部署、入侵链路实现等维度展开深度技术分析，并提出可落地的技术防御体系。

攻击流程如下：

【1. 前期侦察与OSINT情报收集】

↓

公开数据爬取（LinkedIn/企业名录/邮件泄露）

Azure AD / O365 用户枚举接口探测

域名规则生成用户名列表（first.last@domain）

↓【2. 构建有效用户名清单】

↓【3. 攻击基础设施初始化】

↓

Tor出口节点池 + 商用VPN（以色列本地IP）

动态IP轮询模块 + UA伪造（IE10）

无头请求脚本（直接调用OAuth2.0接口）

↓【4. 第一轮：低频次密码喷洒】

↓

单IP→单用户仅1–2次密码尝试

批量遍历用户名，共用弱口令字典

（Spring2025 / Summer2025 / Password123）

规避账户锁定与IP限流

↓【5. 身份认证协议滥用】

↓

POST login.microsoftonline.com/oauth2/token

无Web界面、无Cookie、纯API请求

仅留下Azure AD登录日志，隐蔽性极强

↓【6. 命中有效凭证（账号密码正确）】

↓【7. 二次验证与环境伪装】

↓

切换以色列本地VPN登录

检查设备信任状态、地域策略

避免触发MFA/异常登录告警

↓【8. 内网情报收集】

↓

读取邮件、联系人、日历

枚举OneDrive/SharePoint敏感文件

判断权限等级（普通用户/管理员）

↓【9. 横向移动与持久化（可选）】

↓

设置邮件转发规则

创建应用密码绕过MFA

授权恶意OAuth应用长期访问

窃取BDA、市政、能源、军事相关情报

↓【10. 数据外发与行动收尾】

一、密码喷洒技术本质：与暴力破解的底层技术差异

密码喷洒常被误读为暴力破解的轻量化版本，但其技术逻辑、流量模型、规避策略存在本质区别，这也是其能够绕过传统防护机制的核心原因。

1.1

攻击流量模型对比

传统暴力破解

单用户多密码密集试探，典型特征为：单一账户短时间内出现数十至数百次登录失败；流量高度集中，极易触发账户锁定策略与异常登录告警。

密码喷洒攻击

单密码多用户分布式试探，遵循低频率、广覆盖、慢节奏原则：单个 IP 对单个账户仅尝试 1–2 次弱口令；同一时间横向扫描数千至数万个账户；失败登录分散在大量用户身上，不触发单账户锁定。

此次中东攻击中，攻击者单日产生数千次失败登录，但单用户失败次数极低，传统基于账户失败阈值的告警机制完全失效。

1.2

核心技术优势：规避 EDR、NAC、云原生防护

规避账户锁定策略

绝大多数身份系统默认连续 5–10 次失败即锁定，密码喷洒刻意将单用户尝试次数控制在锁定阈值以下。

规避地理距离与异常行为检测

攻击者使用目标地区本地 VPN，伪装成合法办公网络访问，降低云平台地理位置风险评分。

规避流量异常检测

采用慢速、分布式、低频试探，使攻击流量在日志中呈现为正常离散访问，不触发流量基线告警。

二、本次攻击深度技术实现与基础设施架构

根据 Check Point 研究数据，该伊朗关联攻击组织（关联 Gray Sandstorm）构建了一套完整的密码喷洒专用攻击基础设施，具备高度工程化特征。

2.1

匿名网络与出口节点技术选型

攻击者采用多层网络隐匿架构：

Tor 出口节点池

持续轮换大量 Tor 出口 IP，避免单一 IP 被云安全平台标记为恶意；

商用 VPN 伪装

使用 Windscribe、NordVPN等以色列本土 VPN 服务，获取目标地区 IP 地址，实现地理欺骗；

代理 IP 轮询机制

建立动态 IP 池，每次登录尝试切换出口 IP，进一步打散流量关联。

该技术组合使云平台无法通过 IP 信誉库、地理围栏快速拦截，大幅提升攻击存活时间。

2.2

身份认证协议滥用：云环境攻击关键技术入口

本次攻击核心目标为 Microsoft 365，攻击者精准利用云身份协议的公开端点实现无接触试探：

2.2.1

利用协议：OAuth2.0 / OpenID Connect /     Active Directory Authentication Library (ADAL)

攻击者并非通过网页登录界面发起请求，而是直接调用相关身份验证端点：

login.microsoftonline.com

outlook.office365.com

autodiscover

通过构造标准化 HTTP/S 请求，直接提交用户名与密码组合，实现无头浏览器式暴力试探，无页面渲染、无 JS 加载，流量更小、更隐蔽。

2.2.2

请求包特征分析

典型攻击请求结构：

http

POST /common/oauth2/token HTTP/1.1

Host: login.microsoftonline.com

User-Agent: Mozilla/4.0 (compatible; MSIE 10.0; Windows NT)

Content-Type: application/x-www-form-urlencoded

grant_type=password

&[email protected]

&password=Spring2025

&client_id=…

&resource=https://outlook.office365.com

关键技术特征：

伪造老旧浏览器 UA（IE10）规避 UA 信誉检测；

直接使用 OAuth2 密码模式，无需 Cookie 与 Session；

批量遍历用户名列表，密码固定为弱口令集合。

这种方式不会留下网页访问日志，仅在身份验证日志中留下记录，更难被运维人员察觉。

2.3

用户名搜集技术路径

攻击者在密码喷洒前完成精准的用户枚举，技术手段包括：

公开 OSINT 抓取

LinkedIn、企业官网、政府名录、邮件泄露库；

云租户公开信息泄露

通过 Microsoft 365 公开端点验证用户是否存在：

目标组织域名规则爆破

构造 [email protected]、[email protected] 等格式批量生成账户。

用户有效性验证与密码喷洒分离执行，进一步降低攻击暴露风险。

2.4

弱口令字典工程化构建

本次攻击并非使用通用字典，而是高度定制化：

季节 + 年份：Spring2025、Summer2025

组织名 + 数字：Domain123、Israel@2025

常用弱口令：Password123、Admin@123

云平台默认规则兼容：含大写、小写、数字、特殊字符，满足 M365 密码复杂度最低要求

这种字典命中率远高于通用字典，是攻击成功的关键技术细节。

三、攻击链完整技术拆解：从初始访问到数据窃取

阶段 1：侦察与用户枚举

技术动作：Azure AD 用户发现、Autodiscover 探测、OSINT 收集

输出物：有效用户名列表

阶段 2：分布式密码喷洒

技术动作：IP 轮询、Tor/VPN 切换、低频次请求

核心指标：单 IP 单用户≤2 次尝试，避免锁定与告警

阶段 3：有效凭证验证

成功后立即：

切换至目标地区 IP 登录；

检查账户权限、邮箱数据、OneDrive/SharePoint 文件；

判断是否为高价值账户（管理员、财务、HR、运维）。

阶段 4：横向渗透与持久化（技术扩展）

获取合法凭证后，攻击者可进一步执行：

读取邮件规则、添加转发规则；

启用应用密码，绕过基础 MFA；

利用 OAuth 应用授权实现持久化访问；

搜索敏感文档、客户数据、基础设施信息。

该阶段已从密码喷洒升级为云环境内网横向移动。

四、技术层面为什么传统防御失效？

依赖账户锁定策略

密码喷洒不触发锁定，策略完全失效。

基于 IP 的简单限流

攻击者 IP 池庞大且动态轮换，限流无意义。

仅监控 Web 登录页面

攻击者直接调用 API 接口，无Web 访问痕迹。

未对 OAuth2/ADAL 端点做强化监控

大量企业忽略 API 级身份日志，导致攻击不可见。

弱口令治理流于形式

即便满足复杂度规则，Summer2024这类可预测口令仍可被轻松命中。

五、深度技术防御方案：从检测到响应全链路

5.1

基于行为模型的密码喷洒检测（核心技术）

构建用户/实体行为分析（UEBA）规则：

同一 IP 短时间内尝试大量不同用户名；

大量用户在极短时间内出现 1–2 次登录失败；

同一密码被批量用于不同账户；

异常 UA、无头浏览器、非标准客户端访问身份验证端点。

5.2

身份协议层防护

限制对     login.microsoftonline.com 的匿名访问；

对 OAuth2 密码模式启用强校验，禁止低信任客户端；

禁用基本身份验证（Basic Auth）；

对 Autodiscover 等枚举接口增加速率限制。

5.3

强制 MFA 并阻断绕过技术

全局启用 MFA，尤其管理员账户；

禁止应用密码（App Passwords）；

限制可信设备范围，阻止未知设备登录；

使用条件访问策略（Conditional Access）：只允许企业 IP / 合规设备登录。

5.4

密码策略技术增强

禁用季节性、常用、可预测弱口令；

启用密码泄露检测（Pwned Passwords API 对接）；

高权限账户实施 7–15 天短周期轮换；

实施 Passphrase 或无密码认证（Windows Hello、FIDO2）。

5.5

日志集中化与威胁狩猎

集中收集 Azure AD/M365 登录日志；

建立 KQL/SQL 查询规则实时识别密码喷洒行为；

定期狩猎：同一密码失败跨多用户、异常出口 IP 登录、夜间批量登录。

六、技术总结与威胁趋势判断

本次伊朗关联组织针对中东云环境的密码喷洒行动，本质是国家级威胁利用基础身份漏洞实施的低成本、高收益精准入侵。其技术核心不在于复杂漏洞利用，而在于对云身份协议的深度理解、流量模型的精细化控制、多层网络隐匿与弱口令工程化运用。

云环境边界模糊、身份分散，使得密码喷洒已不再是初级攻击手段，而是 APT 组织获取初始访问的首选战术。对于企业而言，真正的防御关键不在于防火墙升级，而在于身份安全底层治理：强密码策略、UEBA 行为检测、全局 MFA、条件访问与 API 级日志监控，共同构成对抗密码喷洒攻击的技术基石。

相关  IOC

| | | | — | — | | 85.191.204.202 | Windscribe VPN | | 185.191.204.203 | Windscribe VPN | | 169.150.227.3 | Nord VPN | | 169.150.227.143 | Nord VPN | | 169.150.227.146 | Nord VPN |

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《密码喷洒攻击深度技术解析：伊朗关联组织针对中东云环境的定向入侵战术与防御对抗》