淺談虛假日志干擾SIEM平臺(tái)安全監(jiān)測(cè)機(jī)制
為確保網(wǎng)絡(luò)安全,減少攻擊者入侵的可能性,組織機(jī)構(gòu)中部署的安全信息和事件管理系統(tǒng)(SIEM)需要對(duì)進(jìn)出網(wǎng)絡(luò)的行為執(zhí)行實(shí)時(shí)的日志收集、分析和預(yù)警處理,SIEM系統(tǒng)中會(huì)涉及到大量的日志收集設(shè)備。但也存在另外一種可能,攻擊者可以對(duì)SIEM系統(tǒng)中的日志收集設(shè)備形成虛假日志,實(shí)現(xiàn)干擾SIEM的安全行為監(jiān)測(cè)目的。本文就來(lái)探討身處內(nèi)網(wǎng)的攻擊者如何對(duì)日志收集設(shè)備發(fā)起虛假日志攻擊,文章僅為思路分享,不代表實(shí)戰(zhàn)觀點(diǎn)。
1. 理論思路
要對(duì)SIEM系統(tǒng)日志收集設(shè)備形成虛假日志,主要有兩步:
- 發(fā)現(xiàn)目標(biāo)日志收集設(shè)備的日志格式
- 按格式生成相應(yīng)的虛假日志
前提條件:身處目標(biāo)網(wǎng)絡(luò)中的一臺(tái)設(shè)備??梢渣c(diǎn)擊Letsdefend.io的SIEM仿真實(shí)驗(yàn)室進(jìn)行練手。
(1) 發(fā)現(xiàn)目標(biāo)日志收集設(shè)備的日志格式
如果目標(biāo)日志收集設(shè)備使用的是擴(kuò)展的日志格式(LEEF),而我們向其發(fā)送了通用的事件格式(CEF),那就會(huì)出現(xiàn)解析問(wèn)題。這里我們可以用以下兩種方法判斷目標(biāo)監(jiān)控設(shè)備的日志格式:
(2) 應(yīng)用程序識(shí)別
識(shí)別目標(biāo)日志收集設(shè)備在網(wǎng)絡(luò)中監(jiān)測(cè)的前端應(yīng)用程序,然后對(duì)該應(yīng)用程序的屬性和日志流進(jìn)行分析;
網(wǎng)絡(luò)流量監(jiān)測(cè)分析,如果網(wǎng)絡(luò)系統(tǒng)中的日志信息未經(jīng)加密進(jìn)行傳輸,一般都能發(fā)現(xiàn)其具體的日志格式。
(3) 生成虛假日志
根據(jù)上一階段的分析,構(gòu)造虛假日志發(fā)送給目標(biāo)日志收集設(shè)備。
2. 實(shí)例測(cè)試
用以下簡(jiǎn)單的網(wǎng)絡(luò)系統(tǒng)為例,網(wǎng)絡(luò)架構(gòu)中部署了一臺(tái)針對(duì)客戶端的日志收集設(shè)備,它是基于Splunk的日志系統(tǒng),其收集的日志信息會(huì)傳遞給監(jiān)測(cè)分析設(shè)備進(jìn)行關(guān)聯(lián)分析,并給出威脅報(bào)警。
攻擊者潛入網(wǎng)絡(luò),開(kāi)始信息探測(cè),按照上述步驟首先來(lái)識(shí)別日志收集設(shè)備的日志收集格式。這一步他應(yīng)該會(huì)對(duì)日志收集設(shè)備執(zhí)行端口掃描:
從掃描結(jié)果可以看出,日志收集設(shè)備系統(tǒng)中運(yùn)行有Splunk服務(wù),假設(shè)端口514和1234用于日志信息收集,之后,攻擊者通過(guò)網(wǎng)絡(luò)流量監(jiān)聽(tīng),會(huì)發(fā)現(xiàn)端口1234用于TCP包的傳輸:
從實(shí)際的傳輸包中可以看到,整個(gè)網(wǎng)絡(luò)數(shù)據(jù)并未采取加密措施,因此可以從中發(fā)現(xiàn)具體的日志格式:
有了這種明文的日志格式,接下來(lái)就是構(gòu)造日志的問(wèn)題了。這里虛假日志的目的各有不同,例如可以發(fā)送大體積日志以堵塞日志收集功能,或是用虛假攻擊日志欺騙系統(tǒng)管理員(Analyst),也可即時(shí)發(fā)送大量日志消息延遲日志處理機(jī)制,等等。為了分散系統(tǒng)管理員的注意力,基于上述格式,攻擊者可以偽造出以下嘗試SQL注入的日志格式:
- 192.168.131.23 – – [19/Apr/2020:11:33:23 -0700] “GET /read.php?id=1%27%20UNION%20ALL%20SELECT%20LOAD_FILE(%27/etc/passwd%27) HTTP/1.1” 404 208 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36”
之后,把類似大量的日志發(fā)往日志收集設(shè)備的1234端口:
管理員在日志收集設(shè)備中看到以下的記錄信息,攻擊者也成功實(shí)現(xiàn)了干擾目的。
預(yù)防措施
- 針對(duì)日志收集設(shè)備實(shí)施白名單通信機(jī)制;
- 監(jiān)控即時(shí)日志流量,對(duì)異常的增加/減少日志發(fā)出警報(bào);
- 對(duì)日志傳輸信息進(jìn)行加密處理。