Elastic Detection Rules项目中针对Microsoft在线认证域名仿冒的新型检测方案

在网络安全领域，域名仿冒（Typosquatting）是一种常见的攻击手段，攻击者通过注册与合法域名相似的虚假域名来实施钓鱼攻击或中间人攻击。近期针对Microsoft在线认证服务（microsoftonline.com）的域名仿冒活动频繁出现，特别是与特定地区关联的VOID BLIZZARD组织利用此类技术进行恶意活动。Elastic Detection Rules项目为此开发了新型检测规则，通过模糊匹配技术识别潜在的恶意域名。

技术背景

Microsoft在线认证域名（如microsoftonline.com）是企业身份认证和云服务访问的核心入口。攻击者通过以下方式构造仿冒域名：

• 字符替换（如"micsrosoftonline.com"）
• 子域名伪装（如"outlook-office.micsrosoftonline.com"）
• 相似TLD变种

这些仿冒域名通常用于：

1. 收集用户凭证的钓鱼页面
2. 部署中间人攻击代理
3. 绕过安全策略的C2通信

检测方案设计

Elastic提出的检测方案采用多维度分析方法：

核心检测逻辑

1. 数据源覆盖：同时分析网络流量中的URL域名、原始URL、目标域名及DNS查询记录

2. 合法域名过滤：首先排除已知合法的Microsoft在线服务域名模式：

   • 标准登录门户（login.microsoftonline.com）
   • API端点（api.microsoftonline.com）
   • Azure AD域名（*.onmicrosoft.com）

3. 模糊匹配引擎：

   • 采用AUTO模式自动调整模糊度阈值
   • 设置最大扩展数为10以平衡性能与检出率
   • 对以下字段进行并行匹配：
     • url.domain
     • url.original
     • destination.domain
     • dns.question.name

置信度分级

根据匹配分数动态划分风险等级：

• 高分（≥5.999）：低置信度
• 中分（＞4）：中置信度
• 低分：高置信度

特别处理已知恶意样本（如micsrosoftonline.com），即使分数较低也纳入检测。

技术实现细节

该规则使用ES|QL查询语言实现，主要包含以下关键操作：

1. 多字段合并：使用COALESCE函数统一处理不同数据源中的域名字段
2. 正则排除：通过RLIKE操作符过滤合法域名模式
3. 动态评分：结合模糊匹配的_score值与静态规则列表
4. 结果优化：按时间戳降序排列，保留关键字段（源IP、用户ID等）

防御价值

该检测方案具有三重防护价值：

1. 早期预警：在攻击者收集凭证阶段即可发现异常
2. 攻击链阻断：识别C2通信中使用的仿冒域名
3. 威胁情报关联：通过域名特征关联已知攻击组织

安全团队可将此检测规则与以下措施结合：

• 用户登录行为分析
• 证书透明度日志监控
• 企业DNS策略加固

该方案已在实际威胁狩猎中验证有效性，能够检测出包括VOID BLIZZARD组织在内的多种高级威胁活动。企业部署时建议根据自身网络环境调整模糊匹配参数，并建立相应的响应流程。