简介
在本系列的第一篇文章,我们提到了包括NSA在内的行业日志收集指南。这些配置和出版物通常诞生于国防研究,完成了从进攻性研究,防御,然后回到SIEM和遥测系统的实施者的生命周期。国家安全局发表发现对手例如,日本的JPCERT(协调中心)分析了其中日志事件是由于已知的恶意软件工具例如Windows EventID 5156,它表示一个新的网络连接事件。我们还介绍了日志部署示例,但只介绍了数字,以便让我们了解企业环境中遥测收集的规模。
在本系列的这一部分中,我们将重点讨论日志元数据与防御安全性(蓝/紫组合)的关系和作用。它还有助于考虑过去进行的研究工作。
日志源和MITRE ATT&CK
缺乏有针对性的安全日志记录方法会导致日志代理的性能问题、过多的SIEM和代理许可和订阅成本、过多的基础设施需求、噪音和警报疲劳、日志收集不足等等。OWASP甚至建议不要记录太多(以及太少)作为安全日志实现的最佳实践。除了遵循指导和资源从本系列的第一篇文章,另一个蓝队和防御实践是使用MITRE ATT&CK等框架绘制日志源,以确保日志数据提升威胁搜索,安全操作可以配置更好的警报和分类规则。
什么是MITRE ATT&CK框架
MITRE ATT&CK®是一个基于现实世界观察的全球可访问的对手战术和技术知识库。上面是一个截图MITRE ATT&CK Navigator v4.0企业版,另载于Github.
具体MITRE ATT&CK战术
以下是与MITRE ATT&CK战术相关的日志源。这些日志是特定的用例,DomainTools涵盖虹膜检测,虹膜调查,和api,如:
- 通过风险评分、威胁配置文件或虹膜调查UI中的调查来查找域IOCs。
- 寻找有价值的元数据,如电子邮件地址,作为在Iris网络平台上进行调查的种子术语。
- 使用API(例如Reverse IP API)来查找与IP地址相关的域。
防御者需要为他们的日志收集范围添加哪些源?
| 战术:指挥与控制(C2) 策略:泄露(通过C2泄露,通过替代协议) DNS请求显示试图解析已知的恶意域名或试图联系声誉较差的域名。网络周界日志显示向外部IP地址的泄露。相关日志源:Linux DNS查询日志、Windows Sysmon DNSQuery日志、DNS协议抓包日志、Windows Firewall日志等。 |
| 战术:防守闪避 “损害防御”技术 DNS服务器被恶意使用(生成假域名,抢注,基础设施攻击)。服务器已被修改—例如更改Syslog输出流或输出文件的权限以禁止日志记录,或更改DNS服务器配置本身以禁用日志记录。篡改系统以禁用PowerShell日志记录(在Windows中禁用PowerShell事件跟踪机制)。相关日志源:组策略修改(Windows GPO)日志、Windows PowerShell查找可疑PowerShell命令的日志(关闭PowerShell事件跟踪)、Linux审计日志(配置文件更改)。 |
| 策略:持久性机制 在DNS服务器上为稍后的恶意软件后门活动设置持久性,例如稍后连接到C&C服务器。相关日志源:日志源类似于“exfiltering”和“C2 tactics”。 |
| 凭据存取(T1171) 进入身份验证的成功和失败,包括公司内已知内部威胁的访问尝试。乐动体育官网下载 相关日志: 网络外围的入站身份验证和访问尝试。 |
后利用日志狩猎:Mimikatz,一个凭证窃取工具
以下是检测Mimikatz攻击的日志源示例*,但更多的是与显示DNS、IP和域相关元数据的日志相关:
- Windows系统日志
- Sysmon是一个实用工具,提供健壮的扩展日志收集能力。例如,可以将Sysmon配置为帮助记录攻击者使用的实用工具的踪迹以及Sysmon进程日志。
- 您还可以使用Sysmon进行收集DNSQuery事件、FileDelete事件、WMI (Windows Management Instrumentation)相关事件等。
- Windows PowerShell事件日志和日志通过
- PowerShell是一个常用的实用工具,用于在Windows环境中自动执行任务。可以针对PowerShell事件源本身,例如攻击者禁用Windows PowerShell ETW事件提供程序的事件跟踪.
- 不仅可以记录PowerShell Windows事件(通过Windows事件日志或Windows事件跟踪),还可以通过编辑GPO设置启用PowerShell日志。
- Invoke-Mimikatz脚本是通过Microsoft-Windows-PowerShell/Operational通道记录的JPCERT CC),以及目的IP地址/主机名/端口号。
- Windows DNS调试日志
- 非常详细的DNS日志源,包含DNS服务器发送和接收的DNS信息的非常详细的数据。可从Windows Server DNS (2012R2及以上版本)使用热修复补丁).
- Windows DNS分析日志
- “信息”类型的事件可从Windows Server DNS (2012R2起与此热修复补丁).事件类型包括RESPONSE_SUCCESS事件,其中包含目标IP地址、QNAME(或查询名称,如example.com)。
*这些例子来自于利用弹性堆栈和MITRE ATT&CK框架寻找利用后阶段攻击”研究。我们有弹性App集成利用从网络收集的日志(如代理日志),更好地了解网络中的威胁。
大海捞针(元数据
即使在日志源收集之后,仍然存在处理(结构化、提取、丰富)这些日志中有价值的元数据的挑战。解析元数据有利于安全操作,因为它会产生更有针对性的规则(用于仪表板、搜索索引或过滤调查)、警报,或将数据用于其他分析,如调查SIEM/SOAR中的域IOCs。
哪些日志源存在IP/主机名泄露?
让我们看一看之前在MITRE ATT&CK战术一节中提到的几个日志源。在这种情况下,我们看漏出MITRE策略,并查看哪些日志源与域/主机名/IP相关的IOC调查相关。
检测:在Windows PowerShell ETW Provider中收集PowerShell日志
这些日志包含攻击者在PowerShell上使用的命令的元数据。新建立或尝试的网络连接将被记录,并将IP(内部或外部)作为目的地。这些都是漏出(向恶意端点上传和发送数据)。
即使有效负载是base64混淆的命令或数据,也很难解析和创建规则,因为规则依赖于某些模式,收集这样的日志仍然可以帮助找到任何异常值。还有其他的分析工具,如NVISO-BE的ee-异常值工具对于这些类型的任务。
检测:通过日志记录和监控或DNS查询和响应发现DNS隧道
DNS隧道(一种方法基于替代协议的泄露)是“对手可能通过不同于现有命令和控制通道的协议窃取数据”的地方。攻击者可以使用DNS子域字段来窃取数据,以及其他滥用DNS协议进行攻击的方法
到命令和控制服务器的DNS隧道使用DNS协议作为混淆攻击的方法。使用这种技术的原因之一是防御者更容易监控更常见的端点(如RDP)上的不良活动,DNS隧道滥用DNS协议潜入命令和数据,如泄露。发现DNS隧道攻击包括记录DNS查询和响应。
注意:如果您有兴趣了解有关这些类型的日志和元数据的更多信息,本系列接下来的部分将更多地关注日志部署和日志示例。
结论
在本系列的这一部分中,我们将进一步了解从目标日志收集中收集到的安全值。有针对性的日志收集是指,不是所有的日志源在日志事件可靠性和质量方面都是相同的。确保这些日志源是您的曝光的一部分,有助于向IOCs提供Iris调查路径,或通过API或DomainTools集成进行调查。
每隔一段时间,我们就会收到(可能的)开发后帮助请求,并深入领域数据以寻找开发后线索。虽然本系列没有深入研究威胁搜索的操作部分,但重要的是,尽管管理日志源(及其日志类型、元数据、任何缺失的字段等)存在挑战,但部署时要看到增加日志暴露的价值。在下一个系列中,我们将详细讨论这些问题,分别讨论Windows和Linux平台中的机遇和挑战。
要了解如何在DomainTools虹膜调查中识别和跟踪对手的操作,请访问我们的产品页面。
