2024 年多次大量微软账户遭到暴力破解或其他形式的登录尝试，众多用户账户里出现数量极大的登录失败日志，但目前微软并未就这个问题发布任何说明。日前网络安全公司 SpearTip 发布的报告也提到了类似攻击，但该报告提到的目标账户群主要是 Microsoft Azure Active Directory Graph API，这类攻击与我们之前提到的针对微软个人账户的暴力破解应该不同。

虽说是有区别，但攻击手法上却有很大的相似之处，攻击者使用 FastHTTP Go 库进行高速、高频次暴力破解，其特点包括使用大量并发连接、提高吞吐量、降低延迟和提高效率等。

FastHTTP 是用于 Go 编程语言的 HTTP 服务器和客户端，该库针对处理 HTTP 请求进行了优化，黑客则是利用这个库向 Azure Active Directory 端点为目标。

操作手法上黑客要么进行暴力密码破解，要么反复发送多因素身份验证请求 (MFA)，也就是试图通过疲劳攻击接管目标账户，从这方面来看与 2024 年出现的针对个人账户的攻击手法有相似之处。

根据 SpearTip 的研究，恶意流量主要来自巴西并利用广泛的 ASN 提供商和 IP 地址发起攻击，其次恶意流量占比最高的分别是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。

让人非常惊讶的是没想到黑客的攻击成功率能达到 9.7%，这个成功率已经属于极高的水平，研究发现 41.5% 的攻击会直接失败，21% 的攻击会触发安全机制导致微软暂时锁定账户、17.7% 的攻击因为访问策略问题 (例如 IT 管理员设置禁止某些区域的 IP 登录) 被拒绝，10% 的攻击受到 MFA 的保护。

由于此次研究主要针对的是企业账户，因此研究人员还编写了 PowerShell 脚本帮助 IT 管理员检查审计日志，该脚本可以检测 FastHTTP 代理，如果发现该代理的信息即代表该企业是攻击目标。

另外 IT 管理员还可以登录 Azure 门户、Microsoft Entra ID、用户、登录日志，在这里筛选其他客户端，筛选出来的客户端里检查 UA 信息看看是否有 FastHTTP。

消息源：SpearTip