Tweet
Khi hacker đã leo thang đặc quyền thành công, việc tiếp theo họ nghĩ tới không phải là đào coin hay phá hoại ngay, mà là một việc rất “im lặng”:
👉 XÓA DẤU VẾT
Và thứ bị nhắm tới đầu tiên luôn là: LOG.
🧠 Tư duy của hacker: “Không có log = không có bằng chứng”
Hacker hiểu rất rõ SOC làm việc thế nào:
- SOC đọc log
- SIEM phân tích log
- Incident response dựa vào log
👉 Vậy nên, muốn sống lâu trong hệ thống thì phải làm log biến mất hoặc trở nên vô dụng.
🔥 1. Xóa log trực tiếp – Cách thô nhưng hiệu quả
Cách đơn giản nhất (khi đã có quyền root):
- Truncate file log
- Ghi đè file log
- Xóa file log rồi tạo file mới rỗng
📄 Những file hay bị “đụng tay” nhất:
- auth.log / secure
- syslog / messages
- wtmp / btmp / lastlog
💣 Điểm nguy hiểm:
Hành động này không gây crash, hệ thống vẫn chạy bình thường → rất dễ bị bỏ sót.
👻 2. Tắt hoặc phá dịch vụ ghi log
Cao tay hơn, hacker sẽ ngăn log được ghi từ đầu.
Ví dụ:
- Stop rsyslog
- Disable auditd
- Kill journald
- Chỉnh config log level về thấp
👉 Kết quả:
Hệ thống vẫn hoạt động, nhưng log mới không còn xuất hiện.
SOC nếu không theo dõi health của logging service → mù hoàn toàn 😶
🧪 3. Sửa log có chọn lọc – Xóa “đoạn nhạy cảm”
Hacker chuyên nghiệp không xóa toàn bộ log (vì quá lộ).
Họ sẽ:
✂️ Xóa đúng timestamp login
✂️ Xóa dòng sudo
✂️ Xóa command nhạy cảm
✂️ Giữ log trước & sau để “trông tự nhiên”
📌 Cái này nguy hiểm vì:
- File log vẫn tồn tại
- Dịch vụ logging vẫn chạy
- Chỉ có timeline bị khuyết
🕳️ 4. Làm nhiễu log – Log nhiều đến mức SOC bỏ qua
Một chiêu rất tinh vi:
- Tạo hàng ngàn dòng log vô hại
- Flood log bằng noise
- Khi SOC lọc → dễ bỏ sót hành vi thật
💡 Đây là lý do SOC hiện đại không chỉ dựa vào keyword, mà dựa vào hành vi.
🕵️ 5. SOC phát hiện log bị xóa bằng cách nào?
SOC không nên chỉ hỏi:
❌ “Log có nội dung xấu không?”
SOC phải hỏi:
✅ “Tại sao log lại trống?”
🚨 Dấu hiệu 1: Log bị reset bất thường
SOC cần để ý:
- File log suddenly nhỏ lại
- Timestamp bắt đầu lại từ 00:00
- Log rotate không theo chu kỳ
👉 Log “quá sạch” đôi khi còn đáng sợ hơn log xấu.
🚨 Dấu hiệu 2: Gap thời gian trong log
Ví dụ:
- 01:12 có log
- 03:45 có log
- Không có gì ở giữa
❓ Câu hỏi SOC phải đặt ra:
- Server có shutdown không?
- Logging service có stop không?
- Có login/sudo nào xảy ra trong khoảng đó không?
🚨 Dấu hiệu 3: Service logging bị restart lạ
SOC cần theo dõi:
- rsyslog restart ngoài giờ
- auditd bị stop
- journald crash
📌 Hacker rất hay restart logging service để làm mất context.
🚨 Dấu hiệu 4: Log local mất nhưng SIEM vẫn có
Nếu có centralized logging:
- Local log bị xóa
- SIEM vẫn nhận log cũ
👉 Đây là bằng chứng vàng cho IR.
🛡️ 6. SOC phòng thủ log như thế nào?
SOC nên:
✔ Forward log real-time về SIEM
✔ Dùng immutable log (append-only)
✔ Giám sát health logging service
✔ Alert khi log file bị truncate
✔ Correlate log với EDR / network
💡 Nguyên tắc:
Log phải rời khỏi server càng sớm càng tốt.
🧠 Tư duy quan trọng cho SOC
❌ Không thấy log ≠ không có tấn công
✅ Không thấy log = có thể log đã bị động vào
Hacker giỏi không tạo cảnh báo,
Hacker rất giỏi xóa thứ tạo cảnh báo.
🏁 Kết luận
Xóa log không phải là hành động cuối,
nó là bước bắt buộc để hacker tồn tại lâu dài.
SOC mạnh là SOC:
🔎 Nhận ra log bị can thiệp
🧠 Đặt câu hỏi đúng
⏱️ Phát hiện sớm trước khi attacker đạt mục tiêu