Chapter 5 結論
5.1 總結
本專題報告成功地規劃並完整執行了一場紅藍軍攻防模擬演練,驗證了 Chapter 3 所設計之攻擊鏈的有效性。在本次演練中,紅隊以 Kali Linux 為攻擊機,針對受 Fidelis Endpoint 保護的 Windows 10 靶機 ,成功執行了從「初始訪問」、「權限提升」、「憑證存取」到「建立持久化」 的完整攻擊流程。
為了克服 Metasploit 自動化模組的「計時衝突」不穩定性 ,我們開發並驗證了一套「解耦監聽器 (Decoupled Handler)」 TTP 。透過將「攻擊發起」與「C2 監聽」任務分離至兩個獨立終端機的方式,我們 100% 穩定地規避了模組限制,並成功取得 NT AUTHORITY\SYSTEM 最高權限。
同時,藍隊在 Fidelis EDR(設定為「僅偵測」模式) 的監控下,成功捕捉了攻擊前期的關鍵軌跡。本報告完整記錄了紅隊的攻擊成果與藍隊的偵測發現,為後續的防禦策略分析提供了紮實的實證基礎。
5.2 實驗結果優劣分析
本次演練的結果同時揭示了紅隊 TTP 的「優勢」與藍隊 EDR 配置的「偵測缺口」。
優勢
-
紅隊 TTP 驗證成功:
本次演練證明,透過「解耦監聽器」戰術與「手動指令」(如 schtasks),紅隊有能力繞過標準工具的限制,穩定地完成提權與持久化。
-
EDR 提權偵測有效:
Fidelis EDR 在「提權」階段展現了極高的可視性。如 Chapter 4 所示,EDR 成功偵測並繪製了 T1548.002 (BypassUAC) 和 T1543.003 (GetSystem) 的完整進程樹與登錄檔修改行為,為藍隊提供了豐富的鑑識線索。
-
驗證縱深防禦:
Mimikatz 未能抓到明文密碼(Password: (null)),此結果成功驗證了 Windows 10「預設安全 (Secure by Default)」配置的有效性,證實了關閉 WDigest 能有效迫使攻擊者降級使用 NTLM Hash。
劣勢 / 關鍵發現
-
EDR 偵測盲點 (Visibility Gaps):
本次演練最關鍵的發現,是 EDR 在「僅偵測」模式下,其預設規則庫存在嚴重的偵測盲點。如 Chapter 4 所示,Fidelis 雖然成功偵測到「提權」,但對於後續更關鍵的「竊取憑證 (T1003)」和「持久化 (T1053)」兩個階段,告警總表完全沒有觸發任何相應告警。
-
結論:
這證明了 EDR 成功偵測了「入侵中 (Breaking In)」的行為,但完全錯過了「建立據點 (Setting up Camp)」的後滲透階段。
5.3 未來改善方式
基於上述的優劣分析,本研究提出以下兩點改善建議:
對藍隊 (EDR 管理者) 的建議:
-
必須進行規則校調 (Tuning):
本次演練證明 EDR 並非「裝了就好」的萬靈丹。MDR 團隊必須持續進行規則校調與優化,針對 T1003 (Mimikatz) 和 T1053 (schtasks) 這類常見的「LOLBin (Living-off-the-Land)」攻擊手法,手動撰寫並啟用偵測規則,才能彌補預設規則庫的偵測盲點。 -
啟用主動防禦 (AP):
未來應進一步測試,在開啟 Fidelis「主動防禦 (Active Protection)」模式下,EDR 是否能主動攔截本報告中的攻擊鏈。
對紅隊 (未來研究) 的建議:
-
測試 Fileless 攻擊:
本次攻擊鏈依賴backdoor.exe落地,這很容易被沙盒發現。未來的演練應嘗試更隱蔽的「無檔案 (Fileless)」攻擊,例如完全在記憶體中執行的 PowerShell 或 .NET 酬載,以測試 EDR 的記憶體監控能力。 -
演練橫向移動:
本次演練已成功竊取 NTLM Hash。下階段的研究應利用此 Hash 進行「Pass-the-Hash (PtH)」攻擊,將戰線擴展至其他主機,以驗證 EDR 對「橫向移動 (Lateral Movement)」的偵測能力。