在 2024 年藍點網(wǎng)提到過多次大量用戶的微軟賬戶遭到暴力破解或其他形式的登錄嘗試，眾多用戶賬戶里出現(xiàn)數(shù)量極大的登錄失敗日志，但目前微軟并未就這個問題發(fā)布任何說明。

日前網(wǎng)絡(luò)安全公司 SpearTip 發(fā)布的報告也提到了類似攻擊，但該報告提到的目標賬戶群主要是 Microsoft Azure Active Directory Graph API，藍點網(wǎng)閱讀報告后認為這類攻擊與我們之前提到的針對微軟個人賬戶的暴力破解應(yīng)該不同。

雖說是有區(qū)別但攻擊手法上卻有很大的相似之處，攻擊者使用 FastHTTP Go 庫進行高速、高頻次暴力破解，其特點包括使用大量并發(fā)連接、提高吞吐量、降低延遲和提高效率等。

FastHTTP 是用于 Go 編程語言的 HTTP 服務(wù)器和客戶端，該庫針對處理 HTTP 請求進行了優(yōu)化，黑客則是利用這個庫向 Azure Active Directory 端點為目標。

操作手法上黑客要么進行暴力密碼破解，要么反復(fù)發(fā)送多因素身份驗證請求 (MFA)，也就是試圖通過疲勞攻擊接管目標賬戶，從這方面來看與 2024 年出現(xiàn)的針對個人賬戶的攻擊手法有相似之處。

根據(jù) SpearTip 的研究，惡意流量主要來自巴西并利用廣泛的 ASN 提供商和 IP 地址發(fā)起攻擊，其次惡意流量占比最高的分別是土耳其、阿根廷、烏茲別克斯坦、巴基斯坦和伊拉克。

讓人非常驚訝的是沒想到黑客的攻擊成功率能達到 9.7%，這個成功率已經(jīng)屬于極高的水平，研究發(fā)現(xiàn) 41.5% 的攻擊會直接失敗，21% 的攻擊會觸發(fā)安全機制導致微軟暫時鎖定賬戶、17.7% 的攻擊因為訪問策略問題 (例如 IT 管理員設(shè)置禁止某些區(qū)域的 IP 登錄) 被拒絕，10% 的攻擊受到 MFA 的保護。

由于此次研究主要針對的是企業(yè)賬戶，因此研究人員還編寫了 PowerShell 腳本幫助 IT 管理員檢查審計日志，該腳本可以檢測 FastHTTP 代理，如果發(fā)現(xiàn)該代理的信息即代表該企業(yè)是攻擊目標。

另外 IT 管理員還可以登錄 Azure 門戶、Microsoft Entra ID、用戶、登錄日志，在這里篩選其他客戶端，篩選出來的客戶端里檢查 UA 信息看看是否有 FastHTTP。

消息源：SpearTip

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/