组织机构部署的安全信息和事件管理系统,以确保网络安全,减少攻击者入侵的可能性(SIEM)实时收集、分析和预警进出网络的行为,SIEM该系统将涉及大量的日志收集设备。但也有另一种可能性,攻击者可以对抗SIEM系统中的日志收集设备形成虚假日志,干扰SIEM安全行为监测的目的。本文将探讨内网攻击者如何对日志收集设备发起虚假日志攻击。本文仅分享思路,不代表实战观点。
1. 理论思路
要对SIEM系统日志收集设备形成虚假日志有两个主要步骤:
- 发现目标日志收集设备的日志格式
- 按格式生成相应的虚假日志
(1) 发现目标日志收集设备的日志格式
如果目标日志收集设备使用的是扩展的日志格式(LEEF),我们将通用事件格式发送给它(CEF),然后就会出现分析问题。在这里,我们可以用以下两种方法来判断目标监控设备的日志格式:
(2) 应用程序识别
识别网络中监控的前端应用程序,然后分析应用程序的属性和日志流;
网络流量监控分析,如果未加密传输网络系统中的日志信息,一般可以找到具体的日志格式。
(3) 生成虚假日志
根据上一阶段的分析,向目标日志收集设备发送虚假日志。
2. 实例测试
以以以下简单的网络系统为例,基于客户端的日志收集设备部署在网络架构中。Splunk对于日志系统,其收集的日志信息将传递给监控分析设备进行相关分析,并给出威胁报警。
攻击者潜入网络,开始信息检测,首先识别日志收集设备的日志收集格式。在此步骤中,他应扫描日志收集设备的端口:
从扫描结果可以看出,日志收集设备系统运行Splunk假设端口514和1234用于日志信息收集,攻击者将通过网络流量监控发现端口1234用于日志信息收集TCP包的传输:
从实际传输包中可以看出,整个网络数据没有采取加密措施,因此可以找到具体的日志格式:
有了这种明确的日志格式,下一步就是构建日志。虚假日志的目的在这里是不同的。例如,您可以发送大量日志以阻止日志收集功能,或使用虚假攻击日志欺骗系统管理员(Analyst),也可以立即发送大量的日志信息来延迟日志处理机制,等等。为了分散系统管理员的注意力,攻击者可以根据上述格式伪造以下尝试SQL注入日志格式:
管理员在日志收集设备中看到了以下记录信息,攻击者也成功地达到了干扰的目的。
预防措施
- 对日志收集设备实施白名单通信机制;
- 监控即时日志流量,报警异常增加/减少日志;
- 加密日志传输信息。