Chapter 3 研究方法 (Methodology)
本章詳細闡述本次「紅藍軍攻防模擬演練」的完整執行計畫與方法論。
3.1 演練總體設計、範圍與規則 (Rules of Engagement)
演練總體目標
驗證Fidelis Endpoint對於一個完整攻擊鏈各階段行為的偵測能力,並評估其在偵測Bypass UAC與Mimikatz等關鍵技術時的有效性。
實驗環境規格
| 項目 | 規格說明 |
|---|---|
| 虛擬化平台 | VMware ESXi |
| 攻擊機 (紅軍) | Kali Linux (VM), IP: 10.10.4.50 |
| 靶機 (藍軍) | Windows 10 專業版 (版本 1803) (VM), IP: 10.10.4.55 |
| 防禦工具 | Fidelis Endpoint Agent (版本: 9.6.1.10) |
| 脆弱點設計 | 中等強度密碼,保留Bypass UAC所需配置 |
表 3-1:實驗環境規格
演練規則與安全措施
所有攻擊行為嚴格限定在指定攻擊機與靶機之間,嚴禁對實驗網段內的其他目標進行任何操作。
3.2 實驗環境詳細建置流程
網路拓撲
Kali攻擊機與Windows靶機均部署於同一ESXi主機,連接至同一個虛擬交換器(vSwitch),使其位於10.10.4.0/24網段,可直接互相通訊。
Windows 靶機建置步驟
- 於ESXi上創建並安裝Windows 10專業版(版本1803)
- 配置靜態IP位址為10.10.4.55
- 安裝並配置Fidelis Endpoint Agent,並驗證其成功與管理控制台連線
- 利用VMware快照功能建立初始狀態快照
Kali Linux 攻擊機準備
- 於ESXi上部署Kali Linux虛擬機
- 配置靜態IP位址為10.10.4.50,並確認與靶機網路連通性
圖 3-1:Windows 10 環境建置
圖 3-2:Fidelis Endpoint 安裝
圖 3-3:Kali Linux 環境建置
3.3 紅隊執行計畫
紅隊將依循MITRE ATT&CK®框架,模擬一個包含偵察、初始訪問、權限提升、憑證存取、持久化等多個階段的完整攻擊鏈。為全面測試藍軍在不同初始訪問向量下的偵測能力。
3.3.1 社交工程結合BypassUAC提權與憑證竊取
1. 【準備階段】攻擊機監聽設置 (Preparation)
在Kali攻擊機上,啟動Metasploit Framework的exploit/multi/handler模組,配置好監聽IP (LHOST=10.10.4.50)、監聽端口 (LPORT=4444),並設定酬載(payload=windows/x64/meterpreter/reverse_tcp),開始監聽等待來自靶機的連線。
2. 【初始訪問】透過惡意酬載執行 (Initial Access & Execution)
- 使用msfvenom等工具生成一個名為backdoor.exe的反向連線酬載
- 將backdoor.exe傳送至Windows靶機的C:\Users\doris.zheng\Downloads\目錄下(模擬透過社交工程、釣魚郵件等方式送達)
- 模擬使用者在靶機上執行了backdoor.exe
預期效果:Metasploit handler成功接收到連線,紅軍獲得一個標準權限的Meterpreter Session。
3. 【權限提升】利用fodhelper.exe進行BypassUAC (Privilege Escalation)
- 創建並修改註冊表鍵 HKCU:\Software\Classes\ms-settings\Shell\Open\command
- 將該註冊表鍵的預設值指向紅軍的另一個惡意酬載
- 觸發系統程式 C:\Windows\System32\fodhelper.exe
- 清除註冊表痕跡
預期效果:fodhelper.exe以高權限執行了紅軍的酬載,成功繞過UAC,紅軍在Metasploit handler上獲得一個新的、具備系統管理員權限的Meterpreter Session。
4. 【憑證存取】使用Mimikatz竊取憑證 (Credential Access)
在新獲取的高權限Session中,載入並執行Mimikatz模組 (load kiwi),並執行creds_all或logonpasswords指令。
預期效果:成功從LSASS進程中傾印出靶機使用者的明文密碼與NTLM Hash。
5. 【持久化】建立排程工作 (Persistence)
利用高權限Session,使用schtasks指令或Metasploit的持久化腳本,建立一個隱匿的排程工作,設定為在使用者登入時執行反向連線的酬載。
預期效果:即使靶機重啟,紅軍仍能重新獲得對靶機的控制權。
3.4 藍隊執行計畫 (以Fidelis Endpoint為核心)
- 監控與分析: 主要監控Fidelis Endpoint控制台的告警儀表板,利用其進程樹、網路活動、MITRE ATT&CK®對應等功能進行深度分析。
- 模擬應變: 對於已確認的威脅,模擬使用端點隔離功能阻止威脅擴散。
- 證據保存: 截取關鍵告警畫面、事件時間軸、進程樹分析圖作為報告附件。
3.5 資料蒐集與分析方法
蒐集資料類型
- 紅軍操作指令與時間戳
- 藍軍Fidelis告警數據與時間戳
核心分析方法
- 時間軸比對分析: 將紅藍雙方的時間軸進行比對,計算偵測延遲(Time to Detect)
- 偵測有效性評估: 分析Fidelis對各攻擊步驟的偵測覆蓋率與準確性
- 上下文豐富度分析: 評估Fidelis提供的告警資訊是否足以讓分析師理解攻擊全貌