时序分散日志检索(Temporally Dispersed Log Retrieval)是一种通过时间维度稀释日志访问特征的隐蔽操作技术。攻击者将完整的日志收集任务分解为多个低强度、长周期的离散操作,通过设置随机化时间间隔(如每小时执行1次日志查询)和动态化检索条件(如按不同事件ID分批次筛选),使单次日志访问行为在时间序列上无法形成可识别的攻击模式。该技术特别适用于对抗基于时间窗口异常检测的安全系统,例如SIEM平台中的用户行为分析(UBA)模块。
该技术的匿迹机制建立在时间特征重构与行为基线模拟双重策略之上。首先采用泊松过程模型生成符合目标系统运维节奏的访问间隔,使攻击操作的时序分布与正常管理行为的时间统计学特征高度吻合。其次通过动态调整日志查询范围(如每次检索不同时间段的日志),避免在单一日志存储区域形成集中访问痕迹。在云原生环境中,攻击者会进一步利用无服务器架构(如AWS Lambda)创建短期存在的日志处理函数,每次调用仅执行微量日志提取任务后立即销毁运行环境,使得日志访问行为在云审计日志中呈现为离散的合法函数调用事件。这种"化整为零"的操作模式,有效规避了基于操作频次、持续时间或资源访问密度的检测规则。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon