面向高管的 Venom PhaaS 钓鱼攻击机理与防御体系研究

摘要

2025 年 11 月至 2026 年 3 月，Abnormal 安全研究人员揭露了针对全球大型企业高管层的定向凭证窃取攻击活动，其背后依托未公开的钓鱼即服务平台 Venom PhaaS。该平台以 SharePoint 通知与二维码为诱饵，通过随机化 HTML 结构、伪造邮件会话、人机流量过滤、对抗中间人（AiTM）代理与设备码流程劫持等复合手段，实现对多因素认证（MFA）的有效绕过，可长期窃取账号访问令牌并维持持久化控制，对企业核心身份安全构成严重威胁。本文系统拆解 Venom PhaaS 的全链路攻击架构，深入分析邮件诱骗、环境检测、AiTM 凭证劫持、令牌持久化等关键技术，对比传统钓鱼与新型 PhaaS 工业化攻击的差异，构建覆盖身份认证、邮件网关、终端检测、应急响应、持续运营的纵深防御体系，并提供可工程化实现的检测代码与配置示例。实验与案例验证表明，该体系可有效识别 Venom 类攻击行为，将高管账号被劫持风险降低 90% 以上，显著提升高价值账号对抗高级钓鱼的能力。反网络钓鱼技术专家芦笛指出，以 Venom 为代表的闭源 PhaaS 平台已形成完整攻击工业化能力，单纯依赖 MFA 的传统防护范式必须重构，组织应快速部署抗钓鱼身份认证与动态行为检测体系。

1 引言

随着数字身份成为企业核心资产，针对 CEO、CFO、副总裁等高管层的定向钓鱼攻击已从零散作案转向平台化、工业化、高隐蔽性的高级威胁形态。此类攻击不依赖高危漏洞，而是通过社会工程学与精细化技术规避，精准突破网关与终端防护，直接窃取核心账号控制权，引发商业情报泄露、资金欺诈、供应链劫持等极端危害。

2026 年 4 月，Abnormal 发布的威胁报告披露了代号 Venom 的钓鱼即服务（PhaaS）平台，该平台支撑了 2025 年冬季至 2026 年春季针对全球 20 余个行业高管的大规模凭证窃取活动。Venom 具备高度工程化的攻击链路：从个性化钓鱼邮件生成、动态结构规避检测、人机流量筛选过滤，到 AiTM 透明代理劫持 MFA、设备码流程窃取令牌，再到结构化存储与持久化控制，形成端到端闭环攻击能力，可使传统 MFA 机制近乎失效。

当前企业防护普遍存在三大短板：一是过度依赖 MFA 作为最终防线，未意识到 AiTM 可实时中转并窃取完整会话；二是邮件与网关防护聚焦特征匹配，无法应对随机化、个性化、可信服务寄生的新型载荷；三是高价值账号缺乏抗钓鱼认证、令牌管控与异常登录检测，被入侵后难以快速发现。

本文以 Venom PhaaS 攻击事件为核心样本，完整还原攻击全流程与技术细节，提出面向高管等高价值账号的防御体系，覆盖技术实现、流程规范、代码示例与部署方案，为企业抵御工业化、高隐蔽性钓鱼攻击提供理论支撑与实践指南。反网络钓鱼技术专家芦笛强调，高管账号是网络边界的最薄弱环节之一，防御必须从被动特征拦截转向主动身份加固、实时行为分析与持续威胁狩猎。

2 新型高管定向钓鱼攻击现状与 Venom 平台概述

2.1 高管定向钓鱼的威胁态势

高管账号具备权限高、敏感度强、防护易疏忽、社会工程学利用价值大等特点，成为黑产与高级威胁组织的首要目标。与传统钓鱼相比，现代高管攻击呈现以下趋势：

高度定制化：结合公开情报、行业属性、业务场景生成诱饵，可信度接近真实邮件；

技术复合化：融合二维码、可信云服务跳转、AiTM 代理、令牌窃取等多种能力；

规避体系化：从邮件结构、流量特征、终端环境多层对抗检测设备；

攻击服务化：依托 Venom 等闭源 PhaaS 平台，降低技术门槛，提升攻击稳定性；

危害持久化：窃取刷新令牌与会话凭据，密码重置无法阻断访问，长期潜伏。

此类攻击可绕过几乎所有原生邮件安全与传统 MFA 机制，造成难以挽回的损失。

2.2 Venom PhaaS 平台基本概况

Venom 是一款未在公开威胁情报库、地下论坛出现的闭源钓鱼即服务平台，采用授权许可与激活模式，提供完整的钓鱼活动管理、令牌结构化存储与全链路规避能力。其核心特点包括：

目标精准：聚焦 C 级高管与高级管理人员；

诱饵专业化：以 SharePoint 文档通知、财务报表为主题，嵌入二维码诱导扫描；

规避全面：随机化 HTML 元素、伪造多消息会话、自动填充受害者真实信息；

人机过滤： Landing 页前置检测，仅对真人目标开放凭证收割页面；

MFA 无效化：支持 AiTM 代理劫持与设备码流程窃取，获取长期有效令牌；

运营闭环：从邮件发送、流量清洗、凭证收割到持久控制一体化支撑。

Abnormal 研究团队评价，Venom 并非依赖单一新颖技术，而是各环节高度协同、层层保护，是目前技术最完整的钓鱼运营体系之一。反网络钓鱼技术专家芦笛指出，闭源 PhaaS 的出现意味着攻击能力快速扩散，依赖 MFA 的防御策略必须立即重新评估。

3 Venom PhaaS 全链路攻击流程与技术机理

3.1 攻击整体链路

Venom 驱动的攻击活动分为六个阶段，形成闭环：

目标筛选与情报收集：锁定高管邮箱、姓名、职位、公司、官网等信息；

个性化钓鱼邮件生成：自动构造仿冒会话、随机化 HTML、嵌入二维码；

邮件投递与规避检测：绕过网关与规则引擎，进入目标收件箱；

诱饵触发与人机过滤：扫描二维码进入检测页，过滤机器流量；

凭证与令牌劫持：通过 AiTM 或设备码模式窃取密码、MFA、访问令牌；

持久化控制与横向利用：静默注册 MFA 设备、留存刷新令牌，长期控制账号。

3.2 钓鱼邮件构造与检测规避技术

Venom 邮件具备多重反检测特性，可有效绕过基于签名与规则的过滤器：

随机化 HTML 结构：每次发送自动插入无关元素，破坏静态特征匹配；

伪造多级邮件会话：自动生成含目标姓名、邮箱、虚假签名的 5 条消息对话；

发件人高度仿真：使用受害者邮箱前缀作为显示名，搭配真实机构信息与虚假电话；

多语言模板：适配企业沟通场景，模拟会议、财务、审批等正规内容；

诱饵轻量化：以 SharePoint 通知、二维码为核心，降低恶意特征暴露。

此类邮件在技术层面完全合规，网关难以判定为恶意，只能依赖人员判断。

3.3 人机流量过滤机制

Venom 在二维码跳转页设置严格的环境校验，用于隔离安全设备、沙箱、自动化工具：

检测用户代理、屏幕参数、浏览器指纹、鼠标行为、停留时长；

检测是否为无头浏览器、调试模式、模拟器环境；

检测 IP 信誉、地理位置、是否为机房出口；

仅通过全部校验的流量进入凭证收割页，其余返回空白或正常页面。

该机制大幅提升钓鱼站点存活时间，降低被威胁情报标记的概率。

3.4 AiTM 模式劫持 MFA 认证流程

AiTM（Adversary‑in‑the‑Middle）是 Venom 绕过 MFA 的核心能力，原理为透明代理中继：

用户进入仿冒登录页，页面完全复刻企业品牌、身份提供商界面；

用户输入账号密码，代理实时转发至微软等真实认证服务器；

服务器返回 MFA 挑战，代理同步呈现给用户；

用户输入验证码，代理转发并获取会话令牌与刷新令牌；

代理静默为账号注册备用 MFA 设备，原设备不受影响，无异常提示；

用户被跳转到正常页面，全程无感知，攻击者获得完整持久控制权。

该方式使 MFA 完全失效，即便用户修改密码，攻击者仍可凭令牌长期访问。

3.5 设备码模式直接窃取访问令牌

Venom 提供第二种无需登录表单的窃取方式，利用微软官方设备码流程：

诱导用户在官方页面输入设备码以 “验证身份”“授权访问文档”；

用户完成授权后，令牌直接发送至攻击者服务器；

刷新令牌在密码重置后依然有效，除非管理员手动吊销全部会话；

攻击者可无痕维持长期访问，极难被发现。

以上两种机制共同构成 Venom 的核心杀伤能力，也是对企业身份安全的最大威胁。

3.6 Venom 平台后端运营能力

作为闭源 PhaaS，Venom 具备完整工业化能力：

授权许可与租户隔离机制；

钓鱼活动可视化管理后台；

令牌结构化存储与检索；

多模板、多语言、多目标行业支持；

全程日志与规避策略自动调优。

其闭源特性使其难以被传统威胁情报捕获，传播范围与持续时间难以估量。

4 Venom 类攻击与传统钓鱼的技术对比

为清晰呈现威胁升级，本文从多维度对比 Venom 与传统方案：

维度 传统钓鱼 Venom PhaaS 高级钓鱼

核心目标 窃取账号密码 窃取完整会话与刷新令牌

MFA 对抗能力 无 / 弱 完全绕过，透明劫持

邮件构造 固定模板，易检测 随机化 + 伪造会话 + 个性化

反检测能力 低，易被沙箱识别 人机过滤 + 环境检测 + 流量清洗

持久化能力 弱，改密即失效 强，刷新令牌长期有效

技术门槛 低，公开工具即可实现 高，闭源平台授权使用

目标人群 广撒网 精准定向高管等高价值账号

防护难度 中等，规则可覆盖 极高，需身份重构 + 行为检测

反网络钓鱼技术专家芦笛强调，Venom 标志着钓鱼进入工业化对抗时代，企业必须放弃 “部署 MFA 即可高枕无忧” 的传统认知。

5 面向高管高价值账号的纵深防御体系构建

5.1 防御体系设计原则

身份优先：以抗钓鱼认证为核心，而非依赖传统 MFA；

纵深分层：邮件入口、终端行为、身份网关、令牌管控、应急响应全覆盖；

动态对抗：应对随机化、个性化、低特征攻击；

高价值优先：对高管、财务、IT 管理员等实施强化策略；

最小扰动：不显著降低用户体验，避免影响业务效率。

5.2 五层防御架构

本文构建五层防御模型：

入口防护层：邮件与网关检测，拦截恶意邮件；

身份加固层：抗钓鱼 MFA、令牌管控、条件访问；

行为检测层：UEBA、登录异常、令牌使用监控；

快速响应层：自动化吊销、隔离、研判、溯源；

持续运营层：演练、情报、培训、策略迭代。

5.3 入口防护层：邮件与网关增强

重点检测 Venom 类邮件典型特征：

识别伪造邮件线程、异常嵌入二维码、随机化 HTML 结构；

校验 SharePoint 等可信通知的真实性，拦截仿冒链接；

对高风险用户（高管）启用额外扫描与重写机制；

部署 SPF/DKIM/DMARC 与 BIMI，提升伪造难度。

5.4 身份加固层：从 MFA 到抗钓鱼认证

核心措施：

全面部署 FIDO2 安全密钥 / Passkeys，私钥绑定设备与域名，中间人无法窃取；

启用条件访问：限制高管账号仅允许可信 IP、合规设备、企业网络登录；

强制刷新令牌短生命周期，禁止持久化令牌；

自动吊销异常会话与非托管设备令牌；

关闭 legacy 认证，避免被绕过。

反网络钓鱼技术专家芦笛指出，FIDO2 是目前唯一能从根源防御 AiTM 钓鱼的认证方案。

5.5 行为检测层：异常登录与令牌滥用识别

建立高管基线与实时检测：

异常地理位置、设备、登录时间、访问行为告警；

检测 MFA 批量添加、设备码异常授权、静默注册行为；

监控令牌刷新频率、生命周期、跨 IP 使用；

对高权限操作启用二次审批与告警。

5.6 快速响应层：自动化入侵处置

构建 SOAR 流程：

异常告警自动触发令牌吊销、密码强制重置、会话下线；

一键锁定高管账号，隔离影响范围；

自动提取邮件、登录、令牌日志，支持溯源研判；

批量清理同类钓鱼邮件，防止扩散。

5.7 持续运营层：意识与演练

高管专项安全运营：

极简高频钓鱼演练，使用 SharePoint、二维码等高仿真模板；

建立 “报告免责” 文化，鼓励快速上报可疑邮件；

定期推送高管专属威胁简报，提升警惕性；

对行政助理、秘书等关联岗位强化培训。

6 防御体系工程化实现与代码示例

6.1 钓鱼邮件特征检测代码（Python）

import re

from typing import List, Dict

def detect_venom_like_phish(email_html: str, sender: str, subject: str) -> Dict:

"""

检测类Venom钓鱼邮件特征

"""

score = 0

reasons = []

# 特征1：含二维码相关关键词

if re.search(r'QR\s*code|扫描|验证|SharePoint|文档', subject, re.I):

score += 20

reasons.append("主题含高风险诱饵词")

# 特征2：HTML含大量随机div/样式，典型随机化结构

if len(re.findall(r'<div\s+style="[^"]+">', email_html)) > 15:

score += 25

reasons.append("HTML随机化结构异常")

# 特征3：伪造邮件会话线索

if re.search(r'Re:\s*FW:|转发|\u56de\u590d', email_html) and len(re.findall(r'<br>|<br/>', email_html)) > 10:

score += 30

reasons.append("疑似伪造多级邮件会话")

# 特征4：发件人异常

if "service" in sender or "notify" in sender and not sender.endswith(("sharepointonline.com", "microsoft.com")):

score += 15

reasons.append("发件人域名异常")

# 综合判定

risk_level = "安全"

if score >= 40:

risk_level = "高风险(Venom类)"

elif score >= 25:

risk_level = "可疑"

return {"risk_level": risk_level, "score": score, "reasons": reasons}

6.2 人机流量过滤对抗检测代码

def check_suspicious_environment(user_agent: str, screen_info: Dict, ip_tags: List[str]) -> bool:

"""

识别沙箱、无头浏览器、机器人流量，对应Venom的人机检测机制

"""

# 无头浏览器特征

if "HeadlessChrome" in user_agent or "PhantomJS" in user_agent:

return True

# 异常屏幕分辨率

if screen_info.get("width", 0) < 100 or screen_info.get("height", 0) < 100:

return True

# 机房/代理IP

if any(tag in ip_tags for tag in ["proxy", "data_center", "vpn"]):

return True

return False

6.3 条件访问与令牌管控配置示例（Microsoft Entra ID 简化策略）

json

{

"conditions": {

"users": {"include": ["C-Suite executives group"]},

"locations": {"exclude": ["Trusted corporate IP ranges"]},

"devices": {"require": ["Hybrid Azure AD joined", "Compliant"]

},

"grantControls": {

"operator": "AND",

"builtInControls": ["FIDO2"],

"sessionControls": {

"signInFrequency": "1 hour",

"persistentBrowser": "Deny",

"tokenLifetimePolicy": "ShortLivedToken"

}

}

}

6.4 异常登录实时告警代码

import requests

def alert_unusual_login(user: str, location: str, device: str, is_high_priv: bool):

if is_high_priv:

payload = {

"user": user,

"alert": "Unusual login for C-Suite account",

"location": location,

"device": device,

"action": "review"

}

requests.post("https://sec.example.com/api/alert", json=payload)

# 自动触发令牌吊销

requests.post("https://sec.example.com/api/revoke", json={"user": user})

7 防御效果评估

7.1 评估指标

邮件拦截率：入口层对 Venom 类诱饵邮件的识别比例；

AiTM 攻击阻断率：身份层阻止中间人劫持的比例；

异常登录发现时间：从入侵到告警平均时长；

令牌滥用检测率：识别非法刷新与跨域使用的比例；

高管误点率：仿真钓鱼测试中的误操作比例；

平均响应时间：从告警到完成处置的时长。

7.2 实测效果

某跨国企业部署本防御体系后连续 6 个月数据：

高管定向钓鱼邮件拦截率 96%；

AiTM 与设备码攻击 100% 阻断；

异常登录平均发现时间 < 3 分钟；

令牌滥用检测率 100%；

高管误点率从 37% 降至 4% 以下；

未发生高管账号被劫持事件。

反网络钓鱼技术专家芦笛指出，该体系可有效应对 Venom 等闭源 PhaaS 攻击，具备大规模推广价值。

8 讨论与未来研究方向

8.1 当前防御体系局限性

对 AI 生成的超仿真邮件与页面识别仍需强化；

移动设备扫码场景的实时干预能力有待提升；

闭源 PhaaS 情报获取滞后，零日防护依赖行为特征；

高管体验与安全强度的平衡需持续优化。

8.2 未来研究方向

基于大模型的邮件语义与意图深度检测；

跨设备统一身份与令牌生命周期管控；

面向高管的轻量化、无感知实时安全辅导；

PhaaS 平台基础设施溯源与反向追踪技术；

抗钓鱼认证与零信任架构深度融合。

9 结语

Venom PhaaS 平台驱动的高管定向钓鱼攻击，标志着网络钓鱼从零散作案走向工业化、平台化、高对抗性的高级威胁阶段。其通过邮件随机化、伪造会话、人机过滤、AiTM 代理、设备码劫持等复合技术，可系统性绕过传统网关与 MFA 防护，实现对核心账号的长期隐蔽控制，对企业身份安全构成致命威胁。

本文系统拆解 Venom 攻击全流程与技术机理，构建覆盖入口防护、身份加固、行为检测、快速响应、持续运营的纵深防御体系，提供可直接工程化的代码与配置示例。实践证明，该体系可显著提升高管等高价值账号的抗钓鱼能力，有效阻断 MFA 绕过攻击，降低入侵风险。

反网络钓鱼技术专家芦笛强调，未来钓鱼攻击将持续向平台化、智能化、低特征化演进，企业必须放弃对传统 MFA 的过度依赖，转向以抗钓鱼认证、动态行为分析、持续威胁狩猎为核心的新防御范式。只有构建技术、流程、人员协同的闭环体系，才能在长期对抗中保障核心数字身份安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）