Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Succesvolle aanmelding met FastHTTP user agent [RULE-1147]

Deze regel detecteert succesvolle aanmeldingen bij Microsoft Entra ID die gebruik maken van de FastHTTP user agent. FastHTTP is een high-performance HTTP library die voornamelijk wordt gebruikt in geautomatiseerde tooling en niet in gangbare browsers. Een succesvolle aanmelding met deze user agent is een sterke indicatie dat een aanvaller geldige inloggegevens heeft verkregen en geautomatiseerde tools gebruikt om toegang te krijgen tot het account.

Rationale

FastHTTP is een Go-gebaseerde HTTP client library ontworpen voor hoge doorvoer en performance. Het wordt door geen enkele gangbare webbrowser of standaard Microsoft client applicatie gebruikt. Wanneer FastHTTP verschijnt in sign-in logs, is dit vrijwel altijd geassocieerd met geautomatiseerde credential stuffing of brute-force campagnes.

Aanvallers gebruiken regelmatig tools gebouwd op FastHTTP om grote hoeveelheden gestolen credentials te testen tegen Microsoft 365 tenants. Als zelfs een enkele aanmeldpoging slaagt, krijgt de aanvaller directe toegang tot het gecompromitteerde account, inclusief e-mail, bestanden en alle gekoppelde diensten. Deze techniek valt onder MITRE ATT&CK T1078 (Valid Accounts), waarbij aanvallers legitieme credentials gebruiken om initieel toegang te verkrijgen.

Omdat deze regel alleen triggert op succesvolle aanmeldingen (ResultType 0), vertegenwoordigt elke alert een daadwerkelijke account compromise waarbij de aanvaller de authenticatie heeft omzeild. Snelle respons is cruciaal om te voorkomen dat de aanvaller persistence vestigt, data exfiltreert of lateraal beweegt binnen de omgeving.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer of de aanmelding is uitgevoerd door een legitieme gebruiker of applicatie: Controleer bij de accounteigenaar of deze geautomatiseerde tooling of een development framework heeft gebruikt dat de FastHTTP user agent zou kunnen verklaren. Beoordeel de aanmeldlocatie en het IP-adres op afwijkingen.

    • Zo nee: De aanmelding is ongeautoriseerd en het account is gecompromitteerd:

      1. Disable het account onmiddellijk in Microsoft Entra ID om verdere toegang te voorkomen.
      2. Revoke alle actieve sessies voor de gebruiker via het Entra admin center.
      3. Reset het wachtwoord van de gebruiker en vereis herregistratie van MFA methoden, aangezien de aanvaller mogelijk eigen authenticatiemethoden heeft geregistreerd.
      4. Review de recente activiteit van het account in het Unified Audit Log (https://security.microsoft.com/auditlogsearch) op tekenen van data exfiltration, mail forwarding rules, OAuth app consents of privilege escalation.
      5. Controleer op nieuw geregistreerde authenticatiemethoden of applicaties die door de aanvaller zijn toegevoegd.
      6. Overweeg het inschakelen van het Attic IR team voor een grondig onderzoek als er tekenen zijn van verdere compromise. Hiervoor is een IR Strippenkaart vereist.

    • Zo ja: De aanmelding is veroorzaakt door een legitieme geautomatiseerde tool:

      1. Verifieer dat de tool is geautoriseerd door het beveiligingsbeleid van uw organisatie en documenteer de uitzondering.
      2. Indien acceptabel: sluit het incident af en overweeg de applicatie of het IP-adres toe te voegen aan een exclusion list om toekomstige meldingen te verminderen.

Meer informatie