為確保網(wǎng)絡(luò)安全，減少攻擊者入侵的可能性，組織機(jī)構(gòu)中部署的安全信息和事件管理系統(tǒng)(SIEM)需要對(duì)進(jìn)出網(wǎng)絡(luò)的行為執(zhí)行實(shí)時(shí)的日志收集、分析和預(yù)警處理，SIEM系統(tǒng)中會(huì)涉及到大量的日志收集設(shè)備。但也存在另外一種可能，攻擊者可以對(duì)SIEM系統(tǒng)中的日志收集設(shè)備形成虛假日志，實(shí)現(xiàn)干擾SIEM的安全行為監(jiān)測(cè)目的。本文就來(lái)探討身處內(nèi)網(wǎng)的攻擊者如何對(duì)日志收集設(shè)備發(fā)起虛假日志攻擊，文章僅為思路分享，不代表實(shí)戰(zhàn)觀點(diǎn)。

[[344832]]

1. 理論思路

要對(duì)SIEM系統(tǒng)日志收集設(shè)備形成虛假日志，主要有兩步：

• 發(fā)現(xiàn)目標(biāo)日志收集設(shè)備的日志格式
• 按格式生成相應(yīng)的虛假日志

前提條件：身處目標(biāo)網(wǎng)絡(luò)中的一臺(tái)設(shè)備?？梢渣c(diǎn)擊Letsdefend.io的SIEM仿真實(shí)驗(yàn)室進(jìn)行練手。

(1) 發(fā)現(xiàn)目標(biāo)日志收集設(shè)備的日志格式

如果目標(biāo)日志收集設(shè)備使用的是擴(kuò)展的日志格式(LEEF)，而我們向其發(fā)送了通用的事件格式(CEF)，那就會(huì)出現(xiàn)解析問(wèn)題。這里我們可以用以下兩種方法判斷目標(biāo)監(jiān)控設(shè)備的日志格式：

(2) 應(yīng)用程序識(shí)別

識(shí)別目標(biāo)日志收集設(shè)備在網(wǎng)絡(luò)中監(jiān)測(cè)的前端應(yīng)用程序，然后對(duì)該應(yīng)用程序的屬性和日志流進(jìn)行分析;

網(wǎng)絡(luò)流量監(jiān)測(cè)分析,如果網(wǎng)絡(luò)系統(tǒng)中的日志信息未經(jīng)加密進(jìn)行傳輸，一般都能發(fā)現(xiàn)其具體的日志格式。

(3) 生成虛假日志

根據(jù)上一階段的分析，構(gòu)造虛假日志發(fā)送給目標(biāo)日志收集設(shè)備。

2. 實(shí)例測(cè)試

用以下簡(jiǎn)單的網(wǎng)絡(luò)系統(tǒng)為例，網(wǎng)絡(luò)架構(gòu)中部署了一臺(tái)針對(duì)客戶端的日志收集設(shè)備，它是基于Splunk的日志系統(tǒng)，其收集的日志信息會(huì)傳遞給監(jiān)測(cè)分析設(shè)備進(jìn)行關(guān)聯(lián)分析，并給出威脅報(bào)警。

攻擊者潛入網(wǎng)絡(luò)，開(kāi)始信息探測(cè)，按照上述步驟首先來(lái)識(shí)別日志收集設(shè)備的日志收集格式。這一步他應(yīng)該會(huì)對(duì)日志收集設(shè)備執(zhí)行端口掃描：

從掃描結(jié)果可以看出，日志收集設(shè)備系統(tǒng)中運(yùn)行有Splunk服務(wù)，假設(shè)端口514和1234用于日志信息收集，之后，攻擊者通過(guò)網(wǎng)絡(luò)流量監(jiān)聽(tīng)，會(huì)發(fā)現(xiàn)端口1234用于TCP包的傳輸：

從實(shí)際的傳輸包中可以看到，整個(gè)網(wǎng)絡(luò)數(shù)據(jù)并未采取加密措施，因此可以從中發(fā)現(xiàn)具體的日志格式：

有了這種明文的日志格式，接下來(lái)就是構(gòu)造日志的問(wèn)題了。這里虛假日志的目的各有不同，例如可以發(fā)送大體積日志以堵塞日志收集功能，或是用虛假攻擊日志欺騙系統(tǒng)管理員(Analyst)，也可即時(shí)發(fā)送大量日志消息延遲日志處理機(jī)制，等等。為了分散系統(tǒng)管理員的注意力，基于上述格式，攻擊者可以偽造出以下嘗試SQL注入的日志格式：

192.168.131.23 – – [19/Apr/2020:11:33:23 -0700] “GET /read.php?id=1%27%20UNION%20ALL%20SELECT%20LOAD_FILE(%27/etc/passwd%27) HTTP/1.1” 404 208 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36” 

之后，把類似大量的日志發(fā)往日志收集設(shè)備的1234端口：

管理員在日志收集設(shè)備中看到以下的記錄信息，攻擊者也成功實(shí)現(xiàn)了干擾目的。

預(yù)防措施

• 針對(duì)日志收集設(shè)備實(shí)施白名單通信機(jī)制;
• 監(jiān)控即時(shí)日志流量，對(duì)異常的增加/減少日志發(fā)出警報(bào);
• 對(duì)日志傳輸信息進(jìn)行加密處理。