Chapter 2 相關技術與研究 (Related Technologies)
目錄
2.1 紅藍軍演練框架與方法論
MITRE ATT&CK®(Adversarial Tactics, Techniques, and Common Knowledge)是一套全球公認的攻防知識庫,系統性整理了真實世界中各種攻擊者(駭客)實際用過的戰術(Tactics)、技術(Techniques)與程序(Procedures, TTPs)。該框架將攻擊行為分為數個主要戰術階段,例如初始存取、執行、持續化、權限提升、橫向移動、資訊蒐集、命令與控制等,每個階段下又細分不同技術與攻擊手法(如UAC繞過、DLL注入、網域憑證竊取等),幫助紅隊系統化地規劃攻擊路徑,也協助藍隊設計更精準的偵測與防禦策略。
在紅藍軍演練中,紅隊可依據 MITRE ATT&CK® 逐步模擬攻擊流程,像是從釣魚郵件入手,逐步滲透、提升權限、橫向移動到關鍵資產,並嘗試資料外洩或持久化控制。而藍隊則可依此架構建立對應的偵測規則與警示機制,例如利用 EDR、SIEM 或網路監控工具,針對每一戰術階段的異常行為進行即時防護與通報。這樣的框架讓雙方演練具備可追蹤、可驗證的依據,也方便演練後進行弱點分析與資安強化建議。
參考來源:MITRE ATT&CK®
圖 2-1:MITRE ATT&CK® Enterprise Matrix 框架圖範例
2.2 紅隊核心工具與Windows攻擊技術
在本次紅藍軍演練中,紅隊利用 VMware ESXi 虛擬化平台部署 Kali Linux 攻擊機,確保攻防操作在獨立且隔離的虛擬環境下進行,避免對實體主機或其他網路資源造成影響。這不僅大幅提升測試的靈活性與安全性,也方便管理多台測試主機與還原實驗狀態。Kali Linux 虛擬機中預裝了多種專業滲透工具,為後續對 Windows 靶機的資訊蒐集、漏洞利用與權限提升提供完整支援。
2.2.1 Kali Linux及其關鍵工具應用於Windows環境
Kali Linux 是一套專為資安滲透測試與攻防實驗設計的 Linux 發行版,內建數百種資安工具,廣泛被紅隊、滲透測試人員及資安研究者採用。其豐富的工具集可支援網路掃描、漏洞利用、密碼破解、社交工程等多種攻擊需求。
主要紅隊工具與用途:
- Nmap
- 功能:網路掃描與主機服務探勘
- 應用技巧:可用於偵測目標 Windows 系統開放的埠口、服務版本,以存活主機,為後續攻擊蒐集情報
- Metasploit Framework
- 功能:自動化漏洞利用平台
- 應用技巧:可用來針對 Windows 已知漏洞發動利用攻擊(如遠端桌面、SMB等),並自動部署木馬或取得目標系統 Shell 權限
- Burp Suite Community Edition
- 功能:網頁應用程式滲透測試工具
- 應用技巧:適用於發現、測試 Windows 主機上 Web 應用程式的安全弱點,如 SQL Injection、XSS 等
- Mimikatz
- 功能:Windows 密碼與金鑰擷取工具
- 應用技巧:可用於抓取記憶體中的明文密碼、Hash 值與 Kerberos ticket,便於後續橫向移動與權限提升
- PowerSploit
- 功能:專為 Windows 系統設計的 PowerShell 攻擊框架
- 應用技巧:提供多種繞過 UAC、記憶體注入、後門建立等模組,能無檔案落地進行權限提升與持續控制
2.2.2 重點 Windows 攻擊手法技術原理
在現代網路攻擊中,攻擊者往往採用多階段的攻擊鏈 (Attack Chain) 來達成最終目的。本節將針對本次演練紅隊計畫採用的幾個關鍵攻擊技術,深入剖析其原理。雖然真實世界的攻擊入口點多樣,可能來自利用Windows常見服務弱點(如RDP、SMB)、社交工程釣魚郵件等,但本研究將聚焦於以下攻擊鏈,以驗證防禦方的偵測縱深:
一、初始訪問:Web應用程式檔案上傳漏洞 (Initial Access via Unrestricted File Upload)
許多動態網站為了提升使用者互動性,會提供檔案上傳功能,例如更換頭像、上傳附件等。若開發者未對上傳的檔案類型、大小、內容進行嚴格的驗證與限制,便會產生「無限制檔案上傳漏洞」(Unrestricted File Upload)。
- 技術原理:攻擊者可以利用此漏洞,上傳一個可執行的惡意腳本檔案(例如,副檔名為 .php , .asp , .jsp 的 Web Shell),而非預期的圖片或文件檔。當這個 Web Shell 成功上傳至伺服器上一個可透過網頁瀏覽器訪問的路徑後,攻擊者只需在瀏覽器中訪問該檔案的URL,即可觸發並執行其中的惡意程式碼。
- 攻擊效果:一旦 Web Shell 被執行,攻擊者就能在伺服器上建立一個遠端命令介面,使其能夠遠端執行系統指令、瀏覽伺服器檔案、甚至建立一個反向連線 (Reverse Shell) 至攻擊者的主機,從而取得對伺服器的初步控制權。這個控制權的權限等級,通常等同於運行Web伺服器軟體(如 Apache, IIS)的系統帳戶權限,為後續的權限提升攻擊鋪平了道路。
二、權限提升:繞過使用者帳戶控制 (Privilege Escalation: Bypassing UAC)
在取得目標系統的初步訪問權限後,攻擊者通常僅處於標準使用者 (Standard User) 權限,許多敏感操作會受到限制。為了獲取更高的系統管理員權限,攻擊者常採用繞過使用者帳戶控制 (Bypass UAC) 的技術。
- 所屬戰術 (Tactics):權限提升 (Privilege Escalation, TA0004)、防禦規避 (Defense Evasion, TA0005)
- MITRE ATT&CK® 技術點:T1548.002 – Bypass User Account Control
- 技術原理:UAC (User Account Control) 是 Windows 為防止未經授權的高權限操作而設計的一道安全防線。然而,Windows內部存在一些被標記為「受信任」且可「自動提權」(auto-elevate) 的系統執行檔,這些程式在執行時不會觸發UAC提示即可獲得管理員權限。
- 對防禦方的挑戰:此類攻擊利用系統的正常機制,行為隱匿,對傳統防毒軟體構成極大挑戰。因此,能否有效偵測Bypass UAC,是評估現代EDR產品(如Fidelis Endpoint)行為偵測與事件還原能力的關鍵指標。
三、攻擊後利用:Mimikatz 與 LSASS 憑證竊取 (Post-Exploitation: Credential Dumping via Mimikatz & LSASS)
取得管理員權限後,攻擊者的下一個目標通常是竊取系統中其他使用者的登入憑證,以便在內部網路中進行橫向移動 (Lateral Movement)。Mimikatz 是此階段最具代表性的攻擊工具。
- 所屬戰術 (Tactics):憑證存取 (Credential Access, TA0006)
- MITRE ATT&CK® 技術點:T1003.001 – OS Credential Dumping: LSASS Memory
- 技術原理:在Windows作業系統中,有一個名為「本機安全性授權子系統服務」(Local Security Authority Subsystem Service, LSASS) 的核心進程 (lsass.exe)。為了方便使用者進行單一登入 (Single Sign-On) 和驗證,LSASS會在記憶體中快取 (cache) 已登入使用者的憑證資料,包括明文密碼、NTLM雜湊值 (NTLM Hashes)、Kerberos票證等。
四、建立持久性後門 (Establishing Persistence)
為了確保已取得的控制權不會因為系統重啟或使用者登出而失效,攻擊者在完成主要目標後,通常會建立持久性後門。
- 所屬戰術 (Tactics):持久化 (Persistence, TA0003)
- MITRE ATT&CK® 技術點:T1547.001 – Registry Run Keys / Startup Folder, T1053.005 – Scheduled Task/Job 等
- 技術原理:持久化的方法多樣,常見的包括:
- 修改註冊表啟動項:在 Run 或 RunOnce 等註冊表鍵中新增條目,使惡意程式在使用者登入時自動執行
- 建立排程工作:利用Windows的「工作排程器」建立一個隱匿的排程工作,定時觸發惡意程式或反向連線
- 安裝惡意服務:將惡意程式註冊為一個系統服務,使其能在背景隨系統啟動而運行
2.3 藍隊防禦核心技術:Fidelis Endpoint與輔助監控
在本次紅藍軍演練中,我們藍隊採用 Fidelis Endpoint 作為主要的端點防禦與事件偵測平台,結合輔助監控手段,全面提升對攻擊行為的偵測、分析與即時應變能力。Fidelis Endpoint 提供深度行為監控、威脅獵捕、進程追蹤等功能。
2.3.1 Fidelis Endpoint解決方案詳解
Fidelis EDR(Endpoint Detection and Response)簡介:
Fidelis EDR 是 Fidelis Cybersecurity 推出的企業級端點偵測與回應平台,專為現代威脅防禦、事件監控與端點調查設計。它協助資安團隊即時偵測端點異常、追蹤進程行為,並對各類攻擊手法(如權限提升、惡意軟體、橫向移動等)進行快速應變。
一、主要可視與監控內容:
- 端點主機進程活動:完整記錄並可視化父子進程關係、命令列內容、執行檔資訊
- 異常或可疑行為:如未授權權限提升(例:Bypass UAC)、可疑 PowerShell 執行、可疑檔案落地或程式注入等
- 網路連線狀態:監控端點對內外網路的所有連線,偵測 C2 流量或異常外聯
- 檔案操作紀錄:追蹤檔案新增、修改、刪除,分析可疑檔案來源與流向
- 威脅情資對應:自動對照國際情資庫,標記 IOC(攻擊指標)與 MITRE ATT&CK 技術編號
二、核心功能:
- 即時威脅偵測與告警:行為分析引擎偵測未知攻擊行為,並根據 MITRE ATT&CK 編號自動標記事件
- 進程追蹤與可視化分析:可追蹤進程樹、父子關聯,協助溯源攻擊途徑與橫向移動
- 網路連線監控:偵測並記錄端點所有網路活動,包括 C2 通訊與異常外聯
- 端點隔離與應變:一鍵遠端隔離感染端點,或下達即時防護與取證指令,阻止攻擊擴散
- 威脅獵捕(Threat Hunting):提供搜尋、過濾、自訂規則,支援主動威脅狩獵與事件調查
- 完整事件記錄與鑑識支援:保存所有事件日誌,便於資安鑑識與事後調查
- 中央化管理控制台:統一管理多個端點,即時監控告警、調查與回應
三、主要優點:
- 高度可視化:進程、網路與檔案活動一目了然,攻擊路徑清晰可追蹤
- 強大行為偵測能力:能即時識別未知攻擊行為,不受限於傳統病毒庫
- 快速應變能力:遠端即時隔離端點、下達指令,有效阻斷攻擊蔓延
- 主動威脅獵捕:支援資安團隊主動發現潛在威脅,提升主動防禦層次
- 國際標準對接:事件自動對應 MITRE ATT&CK,便於與業界標準接軌
- 適用大型環境:多平台端點集中管理,維運簡單彈性高
- 支援鑑識需求:完整事件記錄與調查流程,方便事後鑑識與報告
2.4 演練環境建置基礎技術
為了確保本次紅藍軍演練過程的安全性與可控性,實驗全程採用虛擬化技術與隔離網路架構,讓攻擊與防禦操作能在不影響真實營運環境的前提下,完整模擬現實攻防場景。透過這種方式,研究團隊可隨時重現實驗步驟、還原環境狀態,並針對不同攻擊策略進行多次驗證與分析。
一、VMware ESXi 虛擬化平台
本研究的基礎架構建構於 VMware ESXi 平台之上。ESXi 是一款業界領先的裸機虛擬化管理程式 (Bare-metal / Type-1 Hypervisor),它直接安裝在實體伺服器的硬體上,不需依賴傳統的作業系統。相較於安裝在桌面作業系統上的虛擬化軟體(Type-2 Hypervisor,如VMware Workstation),ESXi能提供更佳的效能、穩定性與資源管理能力,更貼近現代企業資料中心的實際運作環境。
在本專題中,利用ESXi平台的主要優勢包括:
- 高效能:為攻擊機與靶機提供接近原生的硬體效能,確保演練流暢
- 集中管理:可透過vSphere Client等工具,從單一介面集中管理多台虛擬機(包括本次的Kali Linux攻擊機與Windows靶機)
- 快照功能 (Snapshot):這是攻防演練中最關鍵的功能之一。我們可以在靶機配置完成、遭受攻擊之前建立一個「乾淨」的快照。演練結束後,無論靶機系統受到何種程度的修改或破壞,都能在數分鐘內快速還原至初始狀態,極大地提升了測試與重複演練的效率
二、演練網路環境設計與邊界劃定
確保演練的安全性與合規性是本專題的最高原則。我們利用VMware ESXi內建的虛擬網路功能,將演練所需的虛擬機接入公司提供的LAB實驗網段。
網路環境配置與安全考量:
- 虛擬交換器 (Virtual Switch, vSwitch):在ESXi中,所有虛擬機的網路連接都是透過虛擬交換器來管理的。vSwitch在功能上類似於實體的網路交換器,負責處理虛擬機之間的網路封包交換
- 網路環境配置:我們在ESXi上將本次演練所需的虛擬機,包括Kali Linux攻擊機 (IP: 10.10.4.50) 與 Windows靶機 (IP: 10.10.4.55),都連接至同一個vSwitch上的Port Group,使其接入公司提供的 10.10.4.0/24 LAB實驗網段
演練邊界與規則:
- 內部通訊:攻擊機與靶機能夠在同一個網段中互相通訊,使紅軍的攻擊行為可以順利觸及靶機,模擬真實內部網路的攻擊情境
- 共享網路環境:我們認知到此LAB網段為一個共享環境,其中包含其他非本專題的機器與服務
- 嚴格的演練邊界 (Rules of Engagement):為此,我們訂定嚴格的演練規則:紅軍的所有攻擊行為,包括網路掃描、漏洞利用等,都必須精確地、僅針對Windows靶機的IP位址 10.10.4.55 進行。嚴禁任何形式的全網段掃描、網路廣播、或任何可能干擾LAB網段中其他機器的操作
- 操作隔離 (Operational Isolation):雖然網路層面是共享的,但我們透過嚴格的紀律與精準的目標設定,來達成「操作層面的隔離」。所有攻防活動都將被侷限在我們指定的攻擊機與靶機之間,確保不會對LAB環境中的其他資產造成任何影響