Elastic Detection Rules项目中的Azure身份认证代理异常行为检测规则优化分析

背景与问题概述

在云安全领域，OAuth授权流程钓鱼攻击已成为高级威胁行为体的常用手段。近期Volexity报告了一起针对性的OAuth钓鱼攻击案例，攻击者精心构造了包含Microsoft Authentication Broker(MAB)作为客户端、Device Registration Service(DRS)作为目标资源的定制化微软认证URL。这种攻击方式具有高度规避性和危害性：

1. 受害者点击链接完成认证后，OAuth授权代码会通过重定向返回
2. 攻击者获取该代码后向微软认证服务器交换访问令牌和刷新令牌
3. 利用这些令牌在Entra ID中注册设备，获取设备证书和私钥
4. 最终目标是获取Primary Refresh Token(PRT)，这是一种令牌授予令牌

现有检测规则的局限性

当前Elastic Detection Rules项目中针对此类攻击的检测规则存在几个关键问题：

1. 时间窗口限制过严：要求MS Graph API调用必须在一小时内发生，而实际攻击中PRT获取后可能不会立即使用或不一定访问MS Graph
2. 资源范围过宽：允许AAD(Active Directory)作为目标资源，而实际上应仅关注DRS(设备注册服务)
3. 会话分析不足：缺乏对浏览器交互行为的分析，无法有效区分正常用户行为和攻击行为
4. IP关联缺失：未能有效关联同一会话来自不同IP地址的可疑行为

技术优化方案

1. 时间窗口调整

建议采用61分钟回溯窗口配合30分钟滚动窗口的分析策略。这种设计能够覆盖从钓鱼链接发送到受害者点击、再到攻击者使用认证代码获取令牌的完整攻击链。相比原规则的一小时固定窗口，这种方案更符合实际攻击的时间特征。

2. 目标资源精确化

应将目标资源严格限定为Device Registration Service(DRS)，其资源ID为01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9。排除其他资源可显著减少误报，因为只有DRS与设备注册和PRT获取直接相关。

3. 行为特征增强

新增以下检测逻辑：

• 浏览器交互分析：要求至少一个认证会话来自真实浏览器(如Chrome)，另一个可能来自攻击者的非交互式请求(如Python Requests)
• 会话一致性检查：确保相同session ID下的活动来自不同IP地址，这是钓鱼攻击的典型特征
• 地理位置异常：关联不同IP地址的地理位置信息，识别跨国或跨区域的异常访问

4. 聚合分析策略

采用ES|QL(Elastic Search Query Language)实现以下聚合分析：

• 按session_id聚合认证事件
• 计算每个会话中的唯一IP地址数量
• 检查交互类型(is_interactive)的组合模式
• 分析user_agent多样性

实施效果验证

通过模拟测试，优化后的规则能够有效检测以下攻击特征组合：

1. 使用Microsoft Authentication Broker(客户端ID:29d9ed98-a469-4536-ade2-f981bc1d605e)作为认证客户端
2. 目标资源为Device Registration Service
3. 同一会话中出现浏览器交互和非交互式认证
4. 认证请求来自不同地理位置/IP地址
5. 短时间内完成OAuth授权码到访问令牌的转换

安全价值

优化后的检测规则提供了以下安全优势：

1. 更早的威胁发现：能够在攻击者获取PRT阶段就发出警报，而不必等待后续的MS Graph访问
2. 更低的误报率：通过多维度关联分析(客户端、资源、交互模式、地理位置)有效区分正常业务行为和攻击行为
3. 更强的攻击链覆盖：完整覆盖从初始钓鱼到PRT获取的攻击全链条
4. 更好的调查上下文：提供丰富的关联信息(IP、地理位置、用户代理等)辅助事件调查

总结

针对云环境中的高级OAuth钓鱼攻击，传统的基于单一事件或简单时间窗口的检测方法已显不足。通过多维度行为关联分析和精确的攻击特征建模，可以有效提升检测精度和时效性。本文提出的优化方案不仅适用于Elastic Detection Rules项目，其设计思路也可为其他SIEM或检测系统的规则开发提供参考。