fasthttp használata brute force kampányban

Editors' Pick

2025. január 13-án a SpearTip Security Operations Center a Managed SaaS Alerts csapattal együttműködve azonosított egy feltörekvő fenyegetést, amely a fasthttp könyvtárat használja. A fasthttp egy nagy teljesítményű HTTP-kiszolgáló- és ügyfélkönyvtár a Go programozási nyelvhez, amelyet a Go szabványos net/http csomagjánál hatékonyabb HTTP-kérelmek kezelésére terveztek. Jobb áteresztőképességet és alacsonyabb késleltetést kínál, különösen nagy terhelés esetén.

A SpearTip Security Operations Center gyanúja szerint a fasthttp keretrendszert arra használják kiberszereplők, hogy jogosulatlan hozzáférést szerezzenek a fiókokhoz brute force technikával és a többfaktoros hitelesítési (MFA) kérések spammelése révén. Minden megfigyelt kísérlet az Azure Active Directory Graph API-t (Application ID: 00000002-0000-0000-0000-c000-000000000000) célozta meg. A Microsoft 365 előfizetők nagyszámú állományából elemzett adatok azt mutatják, hogy a fasthttp-t először 2025. január 6-án figyelték meg user agent-ként. A SpearTip és a Managed SaaS Alerts Team elemzése szerint az agent-tel kapcsolatos forgalom 65%-a Brazíliából származik, az ASN-szolgáltatók és IP-címek változatos skáláját kihasználva. További forrásországok közé tartozik Törökország, Argentína, Üzbegisztán, Pakisztán és Irak, amelyek mindegyike a megfigyelt forgalom körülbelül 2-3%-át adja.

Az IoC-k az Azure Portálon keresztül az Entra ID bejelentkezési naplók áttekintésével ellenőrizhetők.
1. Bejelentkezés az Azure Portálra.
2. Microsoft Entra ID → Users → Sign-In Logs.
3. Szűrés: Client app: “Other Clients”
Ez a szűrő false pozitív eredményeket adhat vissza, a naplókban a Basic Information alatt található „User Agent” mezőben ellenőrizhető, hogy van-e fasthttp user agent.

A Microsoft Purview-ban a „fasthttp” kulcsszó használatával is ellenőrizhető a tevékenység. Ha a vizsgálatok sikeres hitelesítést vagy sikertelen MFA és/vagy feltételes hozzáférési naplóbejegyzés található, ahol a jelszó és a felhasználónév helyes volt, javasolt beállítani:
– A felhasználói munkamenetek lejáratát, és a felhasználói hitelesítő adatokat alaphelyzetbe állítását.
– A potenciálisan kompromittált felhasználókhoz kapcsolódó MFA-eszközök áttekintése.
– Az MFA-eszközöket törlése és újak hozzáadása.

Forrás