介绍
在本系列的第一篇,我们提到了包括NSA在内的行业的日志收集指导。这些配置和出版物通常产生于国防研究,完成了从进攻研究,防御,然后返回到SIEM和遥测系统实施者的生命周期。国家安全局发表发现对手例如,日本的JPCERT(协调中心)对其进行了分析日志事件是由已知的恶意软件工具造成的例如Windows EventID 5156,表示新的网络连接事件。我们还介绍了一个日志部署示例,但只介绍了数字,以便让我们了解企业环境中遥测收集的规模。
在本系列的这一部分中,我们将重点关注日志元数据与防御性安全(蓝色/紫色团队)的关系和作用。它还有助于考虑过去进行的先前研究工作。
日志源和MITRE攻击
缺乏有针对性的安全日志记录方法可能导致日志代理出现性能问题、SIEM和代理许可和订阅成本过高、基础设施需求过高、噪音和警报疲劳、日志收集不足等等。OWASP甚至建议不要记录太多(以及太少)的日志,作为安全日志实现的最佳实践。除了遵循指导和资源从这是本系列的第一篇文章,另一个蓝色团队和防御实践是使用MITRE ATT&CK等框架绘制日志源,以确保日志数据提升威胁搜索,安全操作可以配置更好的警报和分类规则。
什么是MITRE攻击和攻击框架
MITRE ATT&CK®是基于现实世界观察的对手战术和技术的全球可访问知识库。上面是图片的截图MITRE at&ck Navigator v4.0 for Enterprise,亦可在Github。
具体的MITRE攻击战术
以下是与MITRE攻击和ck策略相关的日志源。这些日志是特定于DomainTools覆盖的虹膜检测、虹膜调查和api的用例,例如:
- 通过Iris调查UI中的风险评分、威胁配置文件或调查来查找域IOCs。
- 寻找有价值的元数据,如电子邮件地址,作为虹膜网络平台调查的种子术语。
- 使用API(如反向IP API)查找与IP地址关联的域。
防御者需要为其日志收集范围添加哪些源?
| 战术:指挥与控制(C2) 策略:渗透(通过C2,通过备选协议渗透) DNS请求显示试图解析已知的恶意域或试图联系声誉较差的域。网络边界日志显示向外部IP地址的泄露。相关日志源:Linux DNS查询日志、Windows Sysmon DNSQuery日志、DNS协议抓包日志、Windows Firewall日志等。 |
| 战术:防御逃避 技术“防御障碍” DNS服务器被恶意使用(生成假域名、抢注、基础设施攻击)。服务器已被修改—例如更改Syslog输出流或输出文件的权限以禁用日志记录,或更改DNS服务器配置本身以禁用日志记录。通过篡改系统来禁用PowerShell日志记录功能(在Windows中通过禁用PowerShell事件跟踪机制的方式)。相关日志源:组策略修改(Windows GPO)日志,Windows PowerShell查找可疑PowerShell命令的日志(禁用PowerShell事件跟踪),Linux审计日志(配置文件更改)。 |
| 策略:持久性机制 在DNS服务器上设置持久性,以便稍后进行恶意软件后门活动,例如稍后连接到C&C服务器。相关日志源:日志源类似于Exfiltration和C2战术。 |
| 凭据访问(T1171) 入侵身份验证的成功和失败,包括对公司内部已知威胁的访问尝试。乐动体育官网下载 相关日志: 进入身份验证和网络边界的访问尝试。 |
利用日志后狩猎:Mimikatz,一个凭证窃取工具
以下是检测Mimikatz攻击的日志源示例*,但与显示DNS, IP和域相关元数据的日志更相关:
- Windows系统日志
- Sysmon是一个实用工具,它提供了健壮的扩展日志收集能力。例如,可以配置Sysmon来帮助记录攻击者使用Sysmon进程日志记录的实用工具的踪迹。
- 您也可以使用Sysmon进行收集DNSQuery事件、FileDelete事件、WMI (Windows Management Instrumentation)相关事件等等。
- Windows PowerShell事件日志和日志通过
- PowerShell是一个常用的实用工具,用于在Windows环境中自动执行任务。PowerShell事件源本身可以成为攻击目标,例如攻击者关闭Windows PowerShell ETW事件提供程序的事件跟踪功能。
- 不仅可以记录PowerShell Windows事件(通过Windows事件日志或Windows事件跟踪),还可以通过编辑GPO设置启用PowerShell日志记录。
- 调用- mimikatz脚本通过Microsoft-Windows-PowerShell/Operational通道(来自JPCERT CC),以及目标IP地址/主机名/端口号。
- Windows DNS调试日志
- 非常详细的DNS日志源,其中包含DNS服务器发送和接收的DNS信息的非常详细的数据。可从Windows Server DNS (2012R2起)获得热修复补丁)。
- Windows DNS分析日志
- 从Windows Server DNS (2012R2起)可用的“信息”类型的事件热修复补丁)。事件类型包括RESPONSE_SUCCESS事件,它包含目标IP地址、QNAME(或查询名称,如example.com)。
这些例子来自“利用弹性堆栈和MITRE攻击与攻击框架寻找后开发阶段攻击”研究。我们有弹性应用程序集成利用从网络收集的日志(如代理日志),更好地了解网络中的威胁。
大海捞针(元数据
即使在日志源收集之后,仍然存在处理(结构化、提取、丰富)这些日志中有价值的元数据的挑战。解析元数据有利于安全操作,因为它会产生更有针对性的规则(用于仪表板、搜索索引或过滤调查)、警报,或者将数据用于其他分析,例如调查SIEM/SOAR中的域ioc。
哪些日志源显示IP/主机名泄露?
让我们看一下前面在MITRE攻击和攻击策略一节中提到的几个日志源。在这种情况下,我们看漏出MITRE策略并查看哪些日志源与域/主机名/IP相关的IOC调查相关。
检测:通过Windows PowerShell ETW Provider收集PowerShell日志
这些日志包含攻击者在PowerShell上使用的命令元数据。建立或尝试的新网络连接将被记录,并包括IP(内部或外部)作为目标。这些都是漏出(上传和发送数据到恶意端点)。
即使有效负载是base64混淆的命令或数据,由于规则依赖于某些模式,因此很难解析和创建规则,收集这样的日志仍然可以帮助找到任何异常值。还有其他的分析工具,比如NVISO-BE的e-outlier工具对于这些类型的任务。
检测:通过记录和监控或DNS查询和响应来查找DNS隧道
DNS隧道(一种通过替代协议进行泄漏)是“对手可以通过与现有命令和控制通道不同的协议窃取数据”的地方。攻击者可以使用DNS子域字段进行数据泄露,以及其他滥用DNS协议进行攻击的方法
到命令和控制服务器的DNS隧道使用DNS协议作为混淆攻击的一种方式。使用这种技术的原因之一是防御者可以更容易地监控更常见的端点(如RDP)上的不良活动,DNS隧道滥用DNS协议来潜入命令和数据(如泄露)。查找DNS隧道攻击包括记录DNS查询和响应。
注意:如果您有兴趣了解有关这些类型的日志和元数据的更多信息,本系列的后续部分将更多地关注日志部署和日志示例。
结论
在本系列的这一部分中,我们将进一步了解从目标日志收集中收集的安全性值。有针对性的日志收集需要注意,并非所有的日志源在日志事件可靠性和质量方面都是相同的。确保这些日志源是您的公开的一部分,有助于为ioc提供Iris调查途径,或通过API或DomainTools集成进行调查。
我们经常会收到(可能的)开发后帮助的请求,并深入研究领域数据以找到开发后线索。虽然本系列文章没有深入研究威胁搜索的操作部分,但重要的是,尽管管理日志源(及其日志类型、元数据、任何缺失字段等)存在挑战,部署人员还是要看到增加日志公开的价值。在下一个系列中,我们将详细讨论这些问题,分别介绍Windows和Linux平台上的机遇和挑战。
要了解如何在DomainTools Iris调查中识别和跟踪对手的操作,请访问我们的产品页面。
