消痕匿迹的黑客:论日志与流量模式备份的重要性
作者:星期一, 八月 29, 20160

职业黑客想狠捞一票的时候,必须要做的一件事,就是消痕匿迹。很多犯罪活动中,清除证据都是首要考虑。现实世界中,证据通常指的是指纹、弹壳、血液、毛发、监控视频等等。网络犯罪的虚拟世界中,很多情况下证据指的是各种日志。罪犯总想找出证据并删除或修改它们,守护者就想保存、归档和防止证据被坏人染指。失窃案发后,如果要对案犯进行追踪调查,归根结底还要看受害组织对日志和流量模式的归档和保护情况。

640

例如,折扣零售商 T.J. Maxx 和马歇尔百货的至少4570万信用卡和借记卡被盗案。NBC新闻报道:“由于小偷删除了从入侵开始到TJX检测到入侵这一时间段内的大部分正常营业交易数据,TJX至今不能确定被盗规模。”

清除日志来掩盖踪迹显然会让调查过程万分困难,那要是不删除而是修改日志内容呢?道德黑客网站上有黑客探讨了这个问题。

“别把整个日志文件删掉,只删犯罪证据相关记录就行了。另一个问题是,有没有备份的日志文件?万一他们干脆只是对比两份文件找出你抹去的那些记录呢?行动前多想想。最好的做法应该是随机删除日志文件中的记录,包括你的那些。”

日志修改例子:

· 孟加拉央行被黑客盗取1.01亿美元。调查人员发现,犯案黑客团伙十分高明,试图在退出系统时通过删除计算机日志来掩盖自己的行踪。

· 摩根大通集团遭罪犯网络钓鱼攻击,系统被感染,数据失窃。网络安全专家罗伯特·卡普斯评论道:“黑客访问银行记录不常见,但并非闻所未闻,他们常会修改计算机日志以掩盖自身踪迹,但并不总能触碰到更敏感的数据。”当FBI涉入调查,CNN报道称:“黑客采用了前所未见的高级恶意软件深入银行计算机系统底层,删除和篡改记录。”

怎样保护日志

所有日志必须实时发送到隔离收集系统。在已被侵入的系统上本地托管日志文件可不是个好主意,只会让攻击者更方便删除或篡改证据。可以将日志实时发送给某些设备,比如SIEM(安全信息和事件管理)。

存档流量模式

网络上所有系统的进出流量模式也可以很方便地存档很长时间。NetFlow和IPFIX是现下联网设备间所有通信模式记录备份的主流技术。所有路由器和大多数主流防火墙都能导出这些技术到流收集系统。只要事件发生,日志记录便可与流量模式进行对比,使安全团队得以确认所发生事件的有效性。

进一步保护日志

鉴于保存原始日志的关键性,公司企业通常会部署UDP转发程序。这些设施复制所有收到的UDP帧(如:消息),并通过修改目的IP地址将之转发给多个收集服务器。但源IP地址是不变的。因此,执行UDP转发功能的设备对目的地址就是完全透明的。

如果黑客想要察觉到日志被加载到了第2个系统,他们就必须黑进UDP转发系统,获悉日志的去向,再黑掉额外的系统。对大多数黑客而言,他们会漏掉日志修改步骤,或者干脆转向更容易操纵的目标。

保持数据安全

从未有哪个时期日志显得如此重要。攻击者总是想方设法侵入系统,而公司企业必须要能进行事件响应。安全团队索要的第一要物,就是日志。当事件发生,别迷茫于下一步要做什么。确保日志在第2乃至第3个系统上有备份,确保UDP转发程序一直在接力消息。让攻击者越难操作,他们就越容易转向另一个受害者。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!