偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

淺談虛假日志干擾SIEM平臺(tái)安全監(jiān)測(cè)機(jī)制

安全 應(yīng)用安全
本文就來(lái)探討身處內(nèi)網(wǎng)的攻擊者如何對(duì)日志收集設(shè)備發(fā)起虛假日志攻擊,文章僅為思路分享,不代表實(shí)戰(zhàn)觀點(diǎn)。

為確保網(wǎng)絡(luò)安全,減少攻擊者入侵的可能性,組織機(jī)構(gòu)中部署的安全信息和事件管理系統(tǒng)(SIEM)需要對(duì)進(jìn)出網(wǎng)絡(luò)的行為執(zhí)行實(shí)時(shí)的日志收集、分析和預(yù)警處理,SIEM系統(tǒng)中會(huì)涉及到大量的日志收集設(shè)備。但也存在另外一種可能,攻擊者可以對(duì)SIEM系統(tǒng)中的日志收集設(shè)備形成虛假日志,實(shí)現(xiàn)干擾SIEM的安全行為監(jiān)測(cè)目的。本文就來(lái)探討身處內(nèi)網(wǎng)的攻擊者如何對(duì)日志收集設(shè)備發(fā)起虛假日志攻擊,文章僅為思路分享,不代表實(shí)戰(zhàn)觀點(diǎn)。

[[344832]]

1. 理論思路

要對(duì)SIEM系統(tǒng)日志收集設(shè)備形成虛假日志,主要有兩步:

  • 發(fā)現(xiàn)目標(biāo)日志收集設(shè)備的日志格式
  • 按格式生成相應(yīng)的虛假日志

前提條件:身處目標(biāo)網(wǎng)絡(luò)中的一臺(tái)設(shè)備。可以點(diǎn)擊Letsdefend.io的SIEM仿真實(shí)驗(yàn)室進(jìn)行練手。

(1) 發(fā)現(xiàn)目標(biāo)日志收集設(shè)備的日志格式

如果目標(biāo)日志收集設(shè)備使用的是擴(kuò)展的日志格式(LEEF),而我們向其發(fā)送了通用的事件格式(CEF),那就會(huì)出現(xiàn)解析問(wèn)題。這里我們可以用以下兩種方法判斷目標(biāo)監(jiān)控設(shè)備的日志格式:

(2) 應(yīng)用程序識(shí)別

識(shí)別目標(biāo)日志收集設(shè)備在網(wǎng)絡(luò)中監(jiān)測(cè)的前端應(yīng)用程序,然后對(duì)該應(yīng)用程序的屬性和日志流進(jìn)行分析;

網(wǎng)絡(luò)流量監(jiān)測(cè)分析,如果網(wǎng)絡(luò)系統(tǒng)中的日志信息未經(jīng)加密進(jìn)行傳輸,一般都能發(fā)現(xiàn)其具體的日志格式。

(3) 生成虛假日志

根據(jù)上一階段的分析,構(gòu)造虛假日志發(fā)送給目標(biāo)日志收集設(shè)備。

2. 實(shí)例測(cè)試

用以下簡(jiǎn)單的網(wǎng)絡(luò)系統(tǒng)為例,網(wǎng)絡(luò)架構(gòu)中部署了一臺(tái)針對(duì)客戶端的日志收集設(shè)備,它是基于Splunk的日志系統(tǒng),其收集的日志信息會(huì)傳遞給監(jiān)測(cè)分析設(shè)備進(jìn)行關(guān)聯(lián)分析,并給出威脅報(bào)警。

攻擊者潛入網(wǎng)絡(luò),開(kāi)始信息探測(cè),按照上述步驟首先來(lái)識(shí)別日志收集設(shè)備的日志收集格式。這一步他應(yīng)該會(huì)對(duì)日志收集設(shè)備執(zhí)行端口掃描:

從掃描結(jié)果可以看出,日志收集設(shè)備系統(tǒng)中運(yùn)行有Splunk服務(wù),假設(shè)端口514和1234用于日志信息收集,之后,攻擊者通過(guò)網(wǎng)絡(luò)流量監(jiān)聽(tīng),會(huì)發(fā)現(xiàn)端口1234用于TCP包的傳輸:

從實(shí)際的傳輸包中可以看到,整個(gè)網(wǎng)絡(luò)數(shù)據(jù)并未采取加密措施,因此可以從中發(fā)現(xiàn)具體的日志格式:

有了這種明文的日志格式,接下來(lái)就是構(gòu)造日志的問(wèn)題了。這里虛假日志的目的各有不同,例如可以發(fā)送大體積日志以堵塞日志收集功能,或是用虛假攻擊日志欺騙系統(tǒng)管理員(Analyst),也可即時(shí)發(fā)送大量日志消息延遲日志處理機(jī)制,等等。為了分散系統(tǒng)管理員的注意力,基于上述格式,攻擊者可以偽造出以下嘗試SQL注入的日志格式:

  1. 192.168.131.23 – – [19/Apr/2020:11:33:23 -0700] “GET /read.php?id=1%27%20UNION%20ALL%20SELECT%20LOAD_FILE(%27/etc/passwd%27) HTTP/1.1” 404 208 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36” 

之后,把類(lèi)似大量的日志發(fā)往日志收集設(shè)備的1234端口:

管理員在日志收集設(shè)備中看到以下的記錄信息,攻擊者也成功實(shí)現(xiàn)了干擾目的。

預(yù)防措施

  • 針對(duì)日志收集設(shè)備實(shí)施白名單通信機(jī)制;
  • 監(jiān)控即時(shí)日志流量,對(duì)異常的增加/減少日志發(fā)出警報(bào);
  • 對(duì)日志傳輸信息進(jìn)行加密處理。

 

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf
相關(guān)推薦

2020-02-20 16:34:31

大數(shù)據(jù)安全防護(hù)

2011-03-23 15:44:50

2009-09-17 10:24:49

2011-03-23 15:49:56

Linux

2013-12-10 15:34:58

2009-08-06 17:01:53

信息安全網(wǎng)絡(luò)監(jiān)管

2009-07-24 17:22:22

CLR 4.0安全模型

2023-04-07 17:19:04

2015-01-13 10:01:03

AWS市場(chǎng)亞馬遜云平臺(tái)

2009-12-10 00:44:42

2014-10-10 10:25:11

2021-11-29 13:36:34

云計(jì)算AWS云平臺(tái)網(wǎng)絡(luò)安全

2014-09-26 10:32:35

2016-09-21 17:34:38

2024-01-05 00:34:29

2013-03-01 16:51:30

2017-12-07 09:40:44

2012-07-06 10:12:27

2016-07-25 16:01:05

2021-03-17 00:15:10

WindowsMongoDB二進(jìn)制
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)