日志流隐蔽式抽取(Covert Log Stream Extraction)是一种通过合法系统工具实现日志数据隐蔽收集的技术。攻击者利用操作系统内置的日志管理组件(如Windows事件查看器、Linux journalctl)或云平台日志接口,通过低权限账户执行精细化日志筛选与导出操作。该技术避免使用恶意二进制文件,而是通过合法命令的"非预期组合"实现日志提取,例如将系统日志分割为多段导出、混合正常运维指令执行日志检索任务等,从而规避基于进程行为异常的检测机制。
该技术的匿迹性源于对系统白名单机制的深度利用与操作行为的情景化伪装。首先通过权限最小化原则,采用普通用户账户而非特权账户执行日志查询,使操作记录与日常运维行为具有高度相似性。其次采用分阶段数据抽取策略,将完整的日志收集任务拆解为多个独立操作单元,例如先执行日志筛选(wevtutil query)、再执行分段导出(wevtutil export)、最后进行本地解析,每个步骤间插入合法操作指令作为掩护。在云环境实施时,攻击者利用云服务商提供的日志导出API(如AWS CloudWatch Logs Insights),通过标准化请求参数获取目标日志数据,使日志导出行为完全符合云平台审计规范。此类操作通过合法工具链的"非恶意化使用",使得基于进程树监控或命令序列检测的防御体系难以有效识别攻击意图。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon