日志枚举

Sub-techniques (3)

ID	Name
T1654.001	日志流隐蔽式抽取
T1654.002	日志数据聚合混淆
T1654.003	时序分散日志检索

日志枚举是攻击者通过收集和分析系统日志数据以获取敏感信息的技术手段，通常用于发现用户账户、安全配置、网络拓扑等关键情报。攻击者可能使用系统内置工具（如wevtutil、journalctl）或云平台API进行日志提取，并将获取的数据用于后续攻击环节。防御此类行为可通过实施精细化日志访问控制、监控异常日志导出操作、启用日志完整性校验等措施，同时应限制低权限账户的日志查询范围并部署用户行为分析（UBA）系统。

为应对日益增强的日志监控与防护体系，攻击者发展出多种新型隐蔽式日志枚举技术。这些技术通过合法工具链滥用、数据特征混淆、时间维度稀释等策略，将传统具有明显特征的日志窃取行为转化为低信噪比的持续渗透过程，显著提升了攻击行为的隐蔽性和持久性。

当前日志枚举匿迹技术的演进呈现三大核心特征：身份可信化、行为基线化和数据生态化。身份可信化指攻击者通过窃取或伪造低权限账户凭据，使日志访问操作获得合法的身份背书；行为基线化表现为严格遵循目标系统的操作规范，将恶意行为拆解为符合正常运维模式的特征片段；数据生态化强调利用目标环境的数据处理流程（如云日志服务架构）实现攻击链的深度隐匿。具体而言：日志流隐蔽式抽取通过白名单工具链的非常规组合，在进程行为层面实现操作合法化；日志数据聚合混淆利用信息熵操控技术，在内容层面模糊敏感数据的可识别特征；时序分散日志检索通过泊松过程建模，在时间维度重构符合运维基线的访问模式。这些技术的共同本质在于突破传统攻击检测的单维特征对抗模式，通过多维度的上下文环境适配构建"表面合规"的攻击链。

匿迹技术的演化使得传统基于规则匹配或单点异常检测的日志防护体系面临严峻挑战，防御方需构建跨维度行为关联分析能力，实施细粒度的API访问模式建模，并强化云身份的生命周期管理，同时结合UEBA系统对日志访问行为进行多实体关系图谱分析，方能有效应对新型隐蔽式日志枚举威胁。

ID: T1654

Sub-techniques: T1654.001, T1654.002, T1654.003

ⓘ

Tactic: 环境测绘

ⓘ

Platforms: IaaS, Linux, Windows, macOS

Contributors: Bilal Bahadır Yenici; Menachem Goldstein

Version: 1.1

Created: 10 July 2023

Last Modified: 15 October 2024

匿迹效应

效应类型	是否存在
特征伪装	✅
行为透明	❌
数据遮蔽	✅
时空释痕	✅

特征伪装

攻击者通过严格遵循系统工具和云API的调用规范，将日志枚举操作伪装成合法运维行为。例如使用wevtutil.exe执行符合Windows事件日志查询语法的命令，或通过标准化HTTPS请求调用云日志API，使恶意操作在协议层与合法流量具有完全一致的特征表现，规避基于命令语法或API调用模式的检测规则。

数据遮蔽

在日志传输阶段采用TLS加密通道与数据分片技术，隐藏敏感日志内容的传输特征。攻击者将窃取的日志数据封装在加密压缩包中，或通过云平台内置的数据导出服务（如AWS S3预签名URL）进行传输，使得网络层检测设备无法解析有效负载内容，同时规避数据泄露防护（DLP）系统的关键字匹配检测。

时空释痕

通过时序分散策略将集中式日志窃取任务分解为长周期、低强度的离散操作。攻击者将单次日志查询时间控制在系统检测阈值之下，并利用云函数等短期计算资源实现操作环境的动态切换，使得完整攻击链的特征信号被稀释在长达数周的时间跨度中，传统基于时间窗口的异常检测机制难以有效识别。

Procedure Examples

ID	Name	Description
G1023	APT5	APT5 has used the BLOODMINE utility to parse and extract information from Pulse Secure Connect logs.^[1]
G0143	Aquatic Panda	Aquatic Panda enumerated logs related to authentication in Linux environments prior to deleting selective entries for defense evasion purposes.^[2]
S1159	DUSTTRAP	DUSTTRAP can identify infected system log information.^[3]
G1003	Ember Bear	Ember Bear has enumerated SECURITY and SYSTEM log files during intrusions.^[4]
S1091	Pacu	Pacu can collect CloudTrail event histories and CloudWatch logs.^[5]
G1017	Volt Typhoon	Volt Typhoon has used `wevtutil.exe` and the PowerShell command `Get-EventLog security` to enumerate Windows logs to search for successful logons.^[6]^[7]

Mitigations

ID	Mitigation	Description
M1018	User Account Management	Limit the ability to access and export sensitive logs to privileged accounts where possible.

Detection

ID	Data Source	Data Component	Detects
DS0017	Command	Command Execution	Monitor for the use of commands and arguments of utilities and other tools used to access and export logs.
DS0022	File	File Access	Monitor for access to system and service log files, especially from unexpected and abnormal users.
DS0009	Process	Process Creation	Monitor for unexpected process activity associated with utilities that can access and export logs, such as `wevutil.exe` on Windows and `CollectGuestLogs.exe` on Azure hosted VMs.