fasthttpは、そもそもとしては攻撃ツールではありません。
fasthttpはGo言語用の高性能なHTTPの実装で、メモリ割り当てが効率的であることなどから、その速度はGoの通常のnet/httpパッケージを使用する場合に比較して10倍高速に動作するというものです。
このパッケージが攻撃に悪用されてしまっていることが観測されています。
- Microsoft365の認証機構へのブルートフォース
このfsathttpを悪用したブルートフォースの例が、Microsoft365の認証機構に対して確認されています。
もちろん、Microsoft365の認証機構には、いくつもの攻撃に対策するための機構を搭載しています。
このため、多くの攻撃は成り立っていません。- 認証失敗:41.53%
- ブルートフォース攻撃を検出したことによるアカウントのロック:20.97%
- アクセスポリシー違反:17.74%
- MFAによる認証の失敗:10.08%
これらの成り立っていない攻撃の残りの部分は、ブルートフォース攻撃が成功してしまっているということになります。
その確率は確認された範囲では9.68%でした。
実に高い確率でブルートフォース攻撃が成立してしまっていたのでした。
高速に動作する道具を手にした脅威アクターが効率的に攻撃を実施できてしまったという感じです。
Microsoft365のアカウントの乗っ取りは、機密データの漏洩、知的財産の盗難などにつながる可能性があります。
このような取り組みを自分のアカウントに対して実行された形跡があるかについては、調査が可能です。
Azure Portalにログインしてサインインログをその他のクライアントに絞り込んで確認します。
このツールをそのまま使って攻撃する場合は、その通信のUser Agentがfsathttpとなりますので、この情報をもとに、さらに絞り込むことで調査できます。
調査はこの手順で実施できますが、この操作をより簡単に実施できるツールもセキュリティ会社からリリースされています。
必要に応じて利用を検討してみてください。
運悪く自分の関連するアカウントにfasthttpの利用の痕跡が確認できてしまった場合、該当するアカウントの資格情報のリセットなどの対応を開始することが必要です。
まだ利用を開始していない場合はMFAの運用を検討することも有効です。
今回確認された攻撃の対象はMicrosoft365でしたが、脅威の宛先はMicrosoft365に限ったものではないでしょう。
アカウントの管理は重要だと再認識しました。
MFAを使う、アクセスポリシーを適切に設定する、など、取れる対策はうまく運用していきたいものです。
fasthttp Used in New Bruteforce Campaign
https://www.speartip.com/fasthttp-used-in-new-bruteforce-campaign/
| この記事をシェア |
|
|---|
