近日,科技媒体BleepingComputer发布了一篇重要的博文,揭示了一起针对Azure Active Directory(Azure AD)的网络攻击事件。这一攻击活动首次被安全公司SpearTip侦测到,追溯至2025年1月6日。黑客们利用FastHTTP Go库开展了一系列针对Azure AD Graph API的攻击行为,引发了广泛的关注。
FastHTTP Go库是一种为Go编程语言设计的高性能HTTP服务器和客户端库,以其高效的流量处理能力和低延迟著称,常用于需要处理大量并发连接的场景。这使得黑客们能够通过此库实现自动化的攻击,针对Azure AD终端进行未授权的登录尝试。
攻击方式主要包含暴力破解密码和反复发送多因素身份验证(MFA)挑战,尤其是后者,黑客们通过耗尽用户的耐心,使得目标用户在不断收到登录请求的情况下,难以有效应对,从而导致MFA失效,降低安全防护效果。此类攻击被称为MFA疲劳攻击,旨在利用用户的不堪重负,使其行为陷入被动,进而让黑客得以成功进入目标账户。
针对这起攻击,SpearTip在调查过程中发现,65%的恶意流量源自巴西,其次是来自土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克等国家。这一现象不仅显示了巴西在这一事件中的重要性,也反映出全球范围内各种ASN(自治系统号)提供商和IP地址的广泛利用,表明攻击者采取了多样化的手段来掩盖其真实身份和来源。
对于这次攻击的效果,数据显示,41.5%的攻击以失败告终,显示出受害者在一定程度上具备防护能力。有21%的攻击导致了目标账户的保护机制被锁定,这说明Azure AD的安全防护措施在一定程度上仍然有效。还有17.7%的请求因违反访问策略(如地理位置限制或设备合规性)被拒绝,10%的攻击则由于MFA的有效性而未能成功。值得注意的是,仍有9.7%的攻击成功,黑客最终突破了防线,验证并登录了目标账户。这一比例让人感到震惊,表明攻击者的手段具备一定的有效性。
为了帮助系统管理员加强防护,SpearTip发布了一款PowerShell脚本,允许管理员在审计日志中查找FastHTTP用户代理的存在。这一工具可以帮助企业识别潜在的攻击目标,从而及时采取措施,阻止黑客入侵。管理员通过这个脚本,可以快速检查自己的系统是否受到此次攻击的影响,从而实施相应的安全策略,防止进一步的损失。
网络安全形势愈发严峻,企业在使用云服务和各种在线时,必须熟知相关安全防护措施,尤其是像Azure AD这样的关键服务。MFA作为一种重要的安全机制,可以显著提高账户的安全性,但也并非绝对可靠。用户在日常使用中应当保持警觉,例如,在接到大量的验证请求时,及时联系管理员排查可能的安全问题,避免因疲劳攻击而上当受骗。
通过本次事件,也再次提醒所有企业和机构更新自己的安全战略。在保护用户账户和数据安全的过程中,我们需要构建全面的安全防御体系,包括及时修补系统漏洞、加强网络监控和反应能力、并且定期进行安全评估和演练,以提升对高等级网络攻击的防御能力。
黑客利用FastHTTP Go库对Azure AD的攻击事件揭示了当前网络安全的复杂性和多变性。企业在面对日益严峻的网络安全威胁时,应当采取积极应对措施,以打造更为坚固的安全屏障,确保用户信息和数据的安全无恙。