Elastic Detection Rules项目中的Azure AD异常令牌检测规则解析

背景与威胁场景

在云身份认证安全领域，Microsoft Entra ID(原Azure AD)的认证机制一直是攻击者重点研究的对象。近期安全研究人员发现了一种新型攻击手法：攻击者通过钓鱼获取授权码后，利用Microsoft Authentication Broker(MAB)客户端向Azure设备注册服务(ADRS)发起带有adrs_access作用域的刷新令牌请求，试图实现持久化访问。

技术原理分析

这种攻击的核心在于滥用OAuth 2.0的刷新令牌机制和ADRS服务特性。攻击者首先通过钓鱼获取用户的授权码，然后将其兑换为访问令牌和刷新令牌。随后，攻击者使用这些令牌通过Microsoft Authentication Broker(客户端ID:29d9ed98-a469-4536-ade2-f981bc1d605e)向ADRS服务(资源ID:01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9)发起请求，请求中包含特殊的adrs_access作用域。

ADRS(设备注册服务)是Azure中用于管理设备注册和加入的功能组件。攻击者获取adrs_access权限后，可以执行设备注册操作，为后续持久化访问创造条件。

检测规则详解

Elastic Detection Rules项目中提出的检测规则采用KQL语法，主要检测以下几个关键特征：

1. 数据源限定：专门筛选azure.signinlogs数据集，聚焦Azure AD登录日志

2. 客户端标识：匹配Microsoft Authentication Broker的标准客户端ID

3. 目标服务：限定为ADRS服务的资源ID

4. 认证类型：筛选非交互式登录(NonInteractiveUserSignInLogs)，这是使用刷新令牌的典型特征

5. 作用域检测：检查认证处理详情中是否包含adrs_access特殊作用域

6. 令牌类型确认：明确要求令牌类型为refreshToken

7. 用户类型过滤：仅关注常规成员账户，排除访客账户

安全意义与响应建议

这类检测规则的价值在于能够发现潜在的OAuth滥用行为。在正常业务场景中，普通用户很少会直接使用刷新令牌访问ADRS服务，特别是带有adrs_access作用域的请求更是罕见。

安全团队在发现此类告警后，建议采取以下响应措施：

1. 立即审查相关用户账户的活动历史，确认是否存在异常登录

2. 检查目标租户中的设备注册记录，确认是否有可疑设备被加入

3. 必要时撤销相关用户的会话和刷新令牌

4. 对受影响用户进行安全意识教育，防范钓鱼攻击

规则优化方向

在实际部署中，可以考虑以下优化：

1. 增加频率检测：短时间内多次此类请求更可疑

2. 结合地理位置：来自异常地区的请求风险更高

3. 关联设备信息：检查请求是否来自用户常用设备

4. 添加白名单机制：排除已知的服务账号

通过持续优化这类检测规则，企业可以更好地防御基于OAuth的复杂攻击，保护云身份安全。