分析虚假日志干扰SIEM平台安全监测机制

1. 理论思路

要对SIEM系统日志收集设备形成虚假日志，主要有两步：

• 发现目标日志收集设备的日志格式
• 按格式生成相应的虚假日志

前提条件：身处目标网络中的一台设备。可以点击Letsdefend.io的SIEM仿真实验室进行练手。

(1) 发现目标日志收集设备的日志格式

如果目标日志收集设备使用的是扩展的日志格式(LEEF)，而我们向其发送了通用的事件格式(CEF)，那就会出现解析问题。这里我们可以用以下两种方法判断目标监控设备的日志格式：

(2) 应用程序识别

识别目标日志收集设备在网络中监测的前端应用程序，然后对该应用程序的属性和日志流进行分析;

网络流量监测分析,如果网络系统中的日志信息未经加密进行传输，一般都能发现其具体的日志格式。

(3) 生成虚假日志

根据上一阶段的分析，构造虚假日志发送给目标日志收集设备。

2. 实例测试

用以下简单的网络系统为例，网络架构中部署了一台针对客户端的日志收集设备，它是基于Splunk的日志系统，其收集的日志信息会传递给监测分析设备进行关联分析，并给出威胁报警。

有了这种明文的日志格式，接下来就是构造日志的问题了。这里虚假日志的目的各有不同，例如可以发送大体积日志以堵塞日志收集功能，或是用虚假攻击日志欺骗系统管理员(Analyst)，也可即时发送大量日志消息延迟日志处理机制，等等。为了分散系统管理员的注意力，基于上述格式，攻击者可以伪造出以下尝试SQL注入的日志格式：

1. 192.168.131.23 – – [19/Apr/2020:11:33:23 -0700] “GET /read.php?id=1%27%20UNION%20ALL%20SELECT%20LOAD_FILE(%27/etc/passwd%27) HTTP/1.1” 404 208 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36” 

之后，把类似大量的日志发往日志收集设备的1234端口：

（编辑：菏泽站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!