2024年7月2日07:55:02评论4 views字数 6589阅读21分57秒阅读模式

我们这边也有一款适合各类单位组织的日志审计系统，集日志服务器和审计功能于一体，能够满足《网络安全法》的强制合规要求。合规嘛！是要脚踏实地，实实在在的好。日志审计系统部署好了，配置得当可以满足合规要求，同时可以最大限度的提高应急和溯源工作。有需要的，或者有客情的朋友，均可与我交流沟通，欢迎您的垂询！

黑客最爱日志

篡改计算机日志是系统入侵过程中几乎不可避免的一部分。网络犯罪分子为何以及如何针对日志进行攻击？如何保护日志？

计算机日志文件记录了计算机中应用程序执行的操作。它们对于了解系统内发生的事情非常重要，无论是设计故障还是恶意活动。最初，这些日志是手动（且效率低下）分析的。如今，该过程由其他应用程序自动执行，尤其是安全软件，用于监视可能表明攻击开始或正在进行的异常活动。

虽然日志对于企业 IT 运营至关重要，但它与企业业务并不直接相关。因此，日志的价值经常被忽视。它们不会自动被视为必须保护的公司“皇冠上的宝石”，而且通常是安全性较差的简单读/写文本文件。

这是一个错误，因为所有日志都包含（尽管是零散的）IT 基础设施及其使用情况的完整记录。犯罪分子不会忽视这一事实。

内容与吸引力

日志文件内容可能包含许多对攻击者具有吸引力或能力的内容，包括：侦察辅助、PII 和其他受监管数据、隐身和掩盖踪迹的手段以及破坏和勒索的方法。

侦察。日志包含基础设施内发生的所有事情的数据，这些数据反过来可以揭示行为、防御措施以及已知漏洞产品的使用情况。它们可以提供有关基础设施和软件配置、默认密码的存在、用户凭证以及特权升级的潜在方法的信息。简而言之，日志可以帮助绘制和促进攻击者获取宝贵公司内容的路线。

黑客最爱日志 — Rob Gurzeev，CyCognito 首席执行官兼联合创始人。

PII。日志自然不会被视为敏感信息的存储库。CyCognito 首席执行官兼联合创始人 Rob Gurzeev 评论道：“实际上，它们包含大量 PII 和其他敏感数据。他们知道高管正在与谁会面，高管可能与谁建立合作关系，其他高管和与他们有业务往来的人员的电话号码和其他 PII……它们可能包含有关大型组织可能正在进行的大交易和并购的敏感信息。因此，它是组织的一部分，可能没有多少人会认真对待或将其视为经典的攻击点 - 但如果您能够访问日志，则内容对攻击者来说非常有价值。”

隐身和掩盖踪迹。日志是系统的窗口。但日志并不智能。它们记录正在发生的事情，但不知道为什么会发生。我们使用单独的自动化和越来越多的人工智能辅助软件（例如高级 SIEM）来解释记录在日志中的活动。更具体地说，这种自动化旨在区分预期和意外活动；后者可能表示恶意活动。只要日志准确无误，它们就是我们可视性和后续防御的基本组成部分。

Ontinue 首席产品官 Tom Corn 表示：“攻击者追踪日志是为了掩盖他们的踪迹，这是持久性的关键。在 Living off the Land 攻击中，您需要尽可能长时间的停留。这意味着要低调而缓慢地掩盖您的踪迹。许多日志不是只读的；因此，攻击者会找到日志并对其进行更改。”

如果您可以篡改日志，则可以限制或阻止防御者的可见性。Coralogix 的开发者倡导者 Chris Cooney 解释道：“您不仅可以躲避现有的自动警报，还可以隐藏您进行攻击的方式。这很重要。作为蓝队的一员，您需要知道攻击者试图利用哪些载体和漏洞，以便阻止他们。如果您甚至看不到这些，安全团队就会感到非常害怕，因为您确实需要这种可见性才能保护您的周边和系统。”因此，日志篡改可用于在攻击期间隐身。

黑客最爱日志

Chris Cooney，Coralogix 的开发倡导者。

它也可以在攻击后用于隐身。它可能会造成日志混乱，导致数周内无法查看。

“攻击者可以在受害者试图解决混乱局面之前数周购买，甚至在受害者知道自己受到攻击时。当受害者恢复正常时——这是一个痛苦的过程，因为数据丢失，账本陷入严重问题——攻击已经完成，攻击者早已逃之夭夭。”在这种情况下，日志篡改可以支持隐秘攻击，并有助于在攻击后掩盖踪迹。

破坏和勒索。日志对两类主要侵略者都具有吸引力：有经济动机的罪犯和有政治动机的国家。对于后者来说，控制日志有助于侦察和隐身，从而延长停留时间，并更好地定位潜在的破坏。同样有助于犯罪团伙，但也为勒索提供了一条更直接的途径。

Cooney 解释道：“你可以把私人个人信息散布到某人的日志中，然后他们就会突然违反许多监管要求，财务损失可能是巨大的，而这仅仅是通过伪造日志条目造成的。你对一两家公司这样做，然后你去第三家公司说，‘嘿，我即将让你极度不符合世界上一些最昂贵的监管框架。’阻止这种情况可能非常困难，清理日志也非常困难——所以如果发生这种情况，勒索软件因素非常真实。”

篡改方法

篡改日志文件的最常见方法是通过注入虚假或误导性操作来破坏内容。但是，管理文件的框架也可能受到攻击，文件可能被盗，或者暴露在互联网上。

Log4j

Log4j是一种广泛使用的开源日志记录框架。Log4Shell是 Log4j 版本 2 中的一个严重漏洞 (CVE-2021-44228)。该漏洞涉及滥用 Java 命名和目录接口 API，该 API 旨在允许开发人员检索外部对象或资源。在 L4J 版本 2 中，JNDI 默认启用。

Cooney 解释道：“Log4j v2 监控日志以寻找 JNDI 查找指令。这是复杂动态应用程序中的一项有用功能，这些应用程序可以动态地为不同的用户包含不同的模块。”然而，它对于日志来说并不重要 - 而且它在代码中的存在，更不用说它是否被启用了 - 许多日志开发人员都不知道。

以下是利用方法。Cooney 继续说道：“利用方法很简单，如果攻击者可以将 JNDI 查找注入日志，远程代码执行攻击将自动完成。这可以通过尝试使用虚假用户名‘JNDI，括号，等等’登录系统来实现，其中包含一个包含恶意代码的外部位置。”登录将失败，但尝试将被记录，并且 JNDI 查找将从日志内部调用。

Cooney 继续说道：“攻击者需要做的就是将 JNDI 查找模式放入日志中，然后 L4J 就会通过从随机 IP 地址获取和执行随机 Java 代码来做出响应，因为这就是它的设计目的。”

Apache 软件基金会在发现该漏洞后大约四天内就迅速修复了该漏洞。但到那时，该漏洞已经成为一个易于利用的零日漏洞，至少持续了两周。而且，在各公司修补该漏洞之前，该漏洞仍是一个 n 日漏洞。由于 L4J 的普及性，修复该漏洞并不容易。

CyCognito在 2024 年 5 月 15 日的一篇博客中报道称：“尽管 CVE-2021-44228 于 2021 年首次被发现，但一些组织仍未修补此远程代码执行 (RCE) 漏洞。CyCognito 发现 2% 的组织仍拥有易受 Log4J 攻击的资产。”

未修补的 Log4J 带来的威胁仍然存在；类似事件可能再次出现在开源软件中的危险始终存在。

互联网暴露和被盗日志

当 Gurzeev 的公司将一家财富 100 强支付公司作为客户时，它发现了暴露在互联网上的 Bash 日志。

他解释道：“我相信 Bash 历史文件包含相关公司和许多其他公司的数十个 MySQL 凭证。如果攻击者能够访问它，而且也许在我们发现它之前他们已经这样做了，那么其中每一个都可能导致入侵。”

这种情况的危险在于攻击者掌握了所有的牌。他解释道：“如果我从 bash 历史文件获取了这家公司和其他公司的 MySQL 数据库的 40 个凭据，我现在就可以立即对数据库发起攻击并窃取信息。或者我可以简单地以数据库管理员的身份连接。我可以现在就这样做，也可以逐步进行。我可以等几个星期，然后在周末凌晨 4 点这样做。”

在互联网上公开日志相当于将其内容轻易地交给了攻击者。但由于日志通常没有得到充分的保护，因此很容易被泄露和窃取。

日志泄露并不常见，原因有二。首先，能够窃取日志的攻击者可能已经身处网络内部，他们更有可能篡改日志，而不是窃取日志。其次，对攻击者而言，日志数据是最新的。一旦被盗，快照就会变成“历史记录”，而凭证等数据可能已被轮换。

Cooney 说：“日志很有价值——极其宝贵。所以，是的，这种情况确实会发生。但说实话，如果我是一名攻击者，并且能够从服务器上窃取任意文件，我会直接获取访问密钥、密码和用户名，然后扫描端口以查找其他服务器和其他任何东西。到那时，我会尝试将魔爪伸向尽可能多的服务器。”

但这并不意味着无法进行数据泄露——这些内容对黑社会的访问经纪人来说仍然很有价值。ReliaQuest 的高级网络威胁情报分析师 Chris Morgan 指出，他的公司“观察到日志源在自动售货车 (AVC) 等网络犯罪场所被频繁宣传，这些场所本质上是网络犯罪的 eBay。”

通过操纵

Malwarebytes 恶意软件分析师 Pieter Arntz 评论道：“日志通常得不到很好的保护，因为它们需要从多个来源公开写入。此外，它们通常是纯文本，没有加密。”

这使得它们容易受到恶意操纵。Ontinue 首席信息安全官 Gareth Lindahl-Wise 解释说：“攻击者通常利用漏洞、使用被盗凭证或入侵有权访问日志文件的账户来攻击日志。他们可能会注入虚假条目、删除特定日志以消除痕迹，或修改时间戳和 IP 地址等详细信息。有时，他们甚至会禁用日志服务以阻止记录任何活动。”

Sectigo 首席体验官 Tim Callan 补充道，一旦恶意活动完成，他们可能会重新开启日志记录。表面上什么都没发生，并不能证明什么都没发生。

篡改日志的方法将根据目标、其日志记录过程和攻击者的 TTP 而有所不同。“它可以像删除 Linux 系统上的 bash 历史文件或使用 PowerShell 删除 Windows 系统中的系统事件一样粗暴，”Bugcrowd 创始人兼首席战略官 Casey Ellis 评论道。“在更复杂的环境中，它可能涉及识别并试图破坏专用日志记录系统（然后删除该证据）。”

保卫日志

防止互联网暴露。Gurzeev 说：“你需要一个流程来确保没有日志文件被无意中暴露在互联网上。它们与数据库或任何其他文件没有本质区别。绝不能让攻击者轻易访问和/或下载它们。”

渗透测试和修补。“确保您的渗透测试、应用程序安全测试和漏洞管理程序涵盖您的所有资产；并且您有一个流程，确保您至少完全了解您没有覆盖的内容，因为那是您最有可能受到攻击和利用的地方，”Gurzeev 继续说道。“当我们进行最近的研究时，2% 的 Log4J 系统仍然易受攻击，原因是这些机器中的大多数根本没有经过适当的测试，或者每隔几年才进行一次。应用程序安全测试和漏洞管理渗透测试的覆盖范围和节奏方面非常重要。”

保护日志的完整性。 “为了防止日志被篡改，”Morgan 建议，“组织可以实施一些措施，例如使用一次性写入介质或仅允许附加操作的安全日志服务器。此外，使用加密技术对日志进行签名可以确保其完整性，允许通过验证加密签名来检测任何篡改行为。定期监控和审核日志以查找任何未经授权的访问或修改迹象至关重要。”

Sectigo 产品高级副总裁 Jason Soroko 建议将每条日志记录视为散列数据结构中的一笔交易。“例如，”他说，“证书透明度日志基于 Merkle Tree 数据结构 - 这意味着交易只能输入，不能修改，也不能删除。任何在输入数据后试图更改数据的行为都会导致日志被更改。”

Menlo Security 首席安全架构师 Lionel Litty 建议在日志记录过程中使用反向代理。“客户端和服务器端都应该有日志条目。有时，服务器可能无法提供足够的日志记录。在这些情况下，日志记录应该由不可篡改的中间人提供，例如反向代理。”

Lindahl-Wise 总结了各种选择。“为了防止日志篡改，”他说，“组织应该使用集中式日志解决方案，以安全、防篡改的方式存储日志。实施严格的访问控制可确保只有授权人员才能访问和管理日志。使用不可变日志（一旦写入就无法更改）是另一个关键策略。加密静态和传输中的日志数据、进行定期审核和维护备份也是必不可少的做法。实时监控和篡改检测机制（如哈希链或数字签名）可以提醒安全团队注意未经授权的更改。最后，在日志管理中分离职责有助于降低内部威胁的风险，确保日志的完整性和安全监控的有效性。”

第一步必须认识到，尽管日志可能不是企业的皇冠上的宝石，但它们几乎总是包含地图和这些皇冠上的宝石的钥匙 - 因此必须得到充分的保护。

黑客最爱日志