Elastic Detection Rules项目：Azure AD中RT到PRT转换的威胁检测规则解析

背景与威胁场景

在Azure Active Directory(AD)身份认证体系中，Refresh Token(RT)和Primary Refresh Token(PRT)是两种重要的令牌类型。攻击者通过钓鱼等手段获取用户凭据后，常会利用RT来获取PRT，从而在云域加入设备上建立持久性访问。这种技术被多个攻击组织广泛使用，特别是在ROADtx等工具中。

技术原理分析

RT是OAuth 2.0协议中的标准刷新令牌，用于获取新的访问令牌而不需要用户重新认证。而PRT是微软特有的令牌类型，专为混合身份验证场景设计，特别适用于Azure AD加入的设备。

当攻击者获取有效RT后，可以将其转换为PRT，这一过程会创建一个与特定设备绑定的持久会话。这种转换行为在正常运维中较为罕见，因此可以作为高价值的威胁指标。

检测规则设计

Elastic Detection Rules项目中的这条规则采用了事件序列关联的检测方法：

1. 序列定义：基于用户ID和设备ID进行关联，时间窗口设置为1小时

2. 第一阶段检测：

   • 非交互式用户登录(NonInteractiveUserSignInLogs)
   • 使用设备注册服务应用ID(29d9ed98-a469-4536-ade2-f981bc1d605e)
   • 令牌类型为refreshToken
   • 设备信任类型为"Azure AD joined"
   • 令牌保护状态为"unbound"
   • 成功认证

3. 第二阶段检测：

   • 令牌类型为primaryRefreshToken
   • 资源不是设备注册服务
   • 成功认证

规则价值与优势

这条规则的设计具有几个显著优势：

1. 精准定位：通过设备ID和用户ID的双重关联，减少误报
2. 行为序列检测：不是单一事件检测，而是捕捉完整的攻击链
3. 时间窗口合理：1小时的跨度既不会太短导致漏报，也不会太长引入噪声
4. 关键指标组合：包含了令牌类型、设备信任状态等多个关键字段

防御建议

对于防御方，建议采取以下措施：

1. 监控PRT的发放和使用情况，特别是短时间内从RT转换而来的PRT
2. 实施设备合规性策略，限制不受管理设备的访问
3. 定期审查Azure AD加入的设备列表
4. 对敏感账户启用多因素认证
5. 监控令牌保护状态的变化

总结

Elastic Detection Rules项目中的这条规则为检测Azure AD环境中的令牌滥用提供了有效手段。通过分析RT到PRT的转换行为，安全团队可以及时发现攻击者建立的持久性访问，从而采取相应措施阻断攻击链。这种基于行为序列的检测方法比单一事件检测更能反映真实的攻击模式，值得在Azure AD安全监控中推广应用。