黑客利用FastHTTP库对全球Microsoft 365账户发起高速暴力破解

2024年多次大量微软账户遭到暴力破解或其他形式的登录尝试，众多用户账户里出现数量极大的登录失败日志，但目前微软并未就这个问题发布任何说明。日前网络安全公司SpearTip发布的报告也提到了类似攻击，但该报告提到的目标账户群主要是MicrosoftAzureActiveDirectoryGraphAPI，这类攻击与我们之前提到的针对微软个人账户的暴力破解应该不同。

虽说是有区别，但攻击手法上却有很大的相似之处，攻击者使用FastHTTPGo库进行高速、高频次暴力破解，其特点包括使用大量并发连接、提高吞吐量、降低延迟和提高效率等。

FastHTTP是用于Go编程语言的HTTP服务器和客户端，该库针对处理HTTP请求进行了优化，黑客则是利用这个库向AzureActiveDirectory端点为目标。

操作手法上黑客要么进行暴力密码破解，要么反复发送多因素身份验证请求(MFA)，也就是试图通过疲劳攻击接管目标账户，从这方面来看与2024年出现的针对个人账户的攻击手法有相似之处。

根据SpearTip的研究，恶意流量主要来自巴西并利用广泛的ASN提供商和IP地址发起攻击，其次恶意流量占比最高的分别是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。

让人非常惊讶的是没想到黑客的攻击成功率能达到9.7%，这个成功率已经属于极高的水平，研究发现41.5%的攻击会直接失败，21%的攻击会触发安全机制导致微软暂时锁定账户、17.7%的攻击因为访问策略问题(例如IT管理员设置禁止某些区域的IP登录)被拒绝，10%的攻击受到MFA的保护。

由于此次研究主要针对的是企业账户，因此研究人员还编写了PowerShell脚本帮助IT管理员检查审计日志，该脚本可以检测FastHTTP代理，如果发现该代理的信息即代表该企业是攻击目标。

另外IT管理员还可以登录Azure门户、MicrosoftEntraID、用户、登录日志，在这里筛选其他客户端，筛选出来的客户端里检查UA信息看看是否有FastHTTP。

消息源：SpearTip