前言

前一篇我們提到紅隊利用情資的方法主要用來，搜尋更多的情報、擬真的攻擊行為，也可以利用 ATT&CK 瞭解攻擊的運作原理、應用和可能的檢測方法，加深分析駭客攻擊手法與駭客集團用過的工具與手法，也可以利用 ATT&CK 設計紅隊演練訓練流程。

這些方法有助於紅隊模擬真實攻擊情境，評估企業的弱點，並協助藍隊改進其資安防禦策略。

我們利用兩篇文章瞭解資安設備的原理與內容，紫隊這條路 Day7 藍隊的三大利器之二：資安設備原理 & 惡意攻擊情境與藍隊防護說明與管理方針 與 紫隊這條路 Day8 藍隊的三大利器之二：資安設備介紹 & 臺灣資安市場地圖介紹，本篇文章講述如何利用藍隊第二利器─資安設備來訓練攻擊行為，包含撰寫病毒繞過防禦機制、針對資安設備的已知漏洞攻擊，或利用「逆向工程」的方式瞭解資安設備的防護方法。

何謂資安設備與資安設備的重要性

資安設備可以是硬體也可以是軟體產品，目的是保護企業的資訊系統不受惡意攻擊和其他威脅。

常見的資安設備包括但不限於防火牆、入侵偵測 / 防護系統、WAF、SIEM 等。

這些設備的存在確保了企業的資料、應用程式和其他資源在面對各種攻擊時能夠得到保護。

成也資安設備，敗也資安設備 - 論資安設備也有弱點

資安設備雖然為企業和個人提供了一道強大的防護牆，但仍存在脆弱之處，以下深入探討資安設備的幾大弱點：

新的攻擊手法無法識別

從 iThome 新聞【資安週報】2022 年 12 月 12 日到 12 月 16 日 可以看到研究人員發現多款 WAF 產品因無法識別 JSON 格式、恐被發動 SQL 注入攻擊，多家廠牌都受影響，已有 5 家廠商釋出修補，其他產品使用者也應設法瞭解。

設備原理導致有些漏洞偵測不到

資安設備，如入侵偵測系統 (IDS)、網頁應用防火牆 (WAF) 等，主要依賴已知的 威脅特徵或模式 進行偵測。

隨著攻擊者技術的進步，總會出現新的攻擊手法。

這些新攻擊手法往往能繞過現有的資安設備，因為這些設備在初次遇到此類攻擊時可能無法識別它們。

資安設備也有零時差攻擊

還有數款防毒軟體與 EDR 系統也被研究人員發現零時差漏洞，受關注的是，這些漏洞可能被用於打造資料破壞軟體（Wiper），多家廠商也紛紛釋出修補。

資安設備也是軟體的一部分，因此它們也可能包含未被發現的漏洞。駭客可以利用這些零時差漏洞針對資安設備發動攻擊，使其失效或甚至成為駭客的跳板。

什麼是零時差攻擊

• 當駭客找到並利用一個漏洞時，而這個漏洞在廠商或者資安社群中尚未被發現或修補，這種攻擊就稱為零時差攻擊。
• 由於駭客先於廠商一步，這使得受害者在被攻擊時幾乎無法防守。

資安設備的已知漏洞

• 舉例：因為疫情的關係，許多駭客針對 VPN 設備進行攻擊，而 VPN 的已知漏洞被大規模地利用。

  • 即使廠商已釋出修補，但許多使用者和企業在未及時更新的情況下，仍然會被駭客攻擊。

除了零時差漏洞，許多資安設備也可能存在已知但未修補的漏洞。這可能是因為廠商尚未提供修補，或是使用者未即時進行更新和維護。這樣的疏忽為攻擊者提供了入侵的機會。

資安設備的錯誤設定

• 方便 vs 資安 總是在對立面

有些企業在設定防火牆的規則時，為了方便開放了太多的埠，讓攻擊者可以直接忽略防火牆，甚至找到攻擊點。因此針對防火牆的規則也需要進行管理。

• 忘記、不想改密碼 - 預設帳號密碼的問題

另一常見錯誤是沒有修改資安設備/網路設備的預設帳號密碼，上圖可以看到預設密碼非常的好猜、脆弱，使得駭客可以輕易地登入並獲取控制權。

常見的錯誤

1. 開放不必要的埠
2. 使用預設密碼
3. 權限過大

容易被攻擊者利用，繞過防護機制，還可能利用設備進行更進一步的攻擊。

防禦機製造成攻擊者的痛苦 - 痛苦金字塔簡介

簡單回顧 紫隊這條路 Day6 藍隊的三大利器之一：資安情資提到的痛苦金字塔，對於紅隊（攻擊者）的角度，攻擊者如果看到防禦機制非常完善會越「痛苦」。

因此痛苦金字塔是指＂攻擊者＂面對防禦機制所需付出的努力和成本的模型。從金字塔的底部到頂部，攻擊者所遭遇的阻力與成本逐步增加。

一樣就是我手繪的圖↑

痛苦金字塔（Pyramid of Pain）

• 痛苦金字塔作者
  • 由 David J. Bianco 提出
• 目的
  • 用來表示駭客在對抗不同防禦層級時所需付出的努力。
• 每一層
  • 每一層代表一種資訊或技巧，從底部開始對防禦者的價值逐漸增加，但同時也使得攻擊者要進行調整或變更的困難度提高。

雜湊值 (Hash Values)

指檔案或惡意軟體的 MD5、SHA-1 或 SHA-256 雜湊值。

防禦設備：這定這些 MD5 值，看到相同就不允許下載、傳輸。
攻擊者：輕易修改檔案或惡意軟體的內容以產生不同的雜湊值。

IP 地址 (IP Addresses)

攻擊來源的 IP 地址。

防禦設備：利用黑名單的機制將這些 IP 不能傳輸內容。
攻擊者：簡單地更換 IP 或使用代理 Proxy，以繞過基於 IP 的封鎖。

域名 (Domain Names)

由 C&C 伺服器或惡意網站使用的域名。

防禦設備：基於 Domain 進行封鎖。
攻擊者：攻擊者可以購買新域名或使用動態域名，但已經開始需要一些成本。

網路 / 主機工具 (Network/Host Artifacts)

網路痕跡，比如特定的使用者代理文字、服務機制或攻擊者在主機上留下的其他痕跡。

防禦設備：基於 log 上的 進行封鎖。
攻擊者：改變這些特徵會比前面的更加困難，但仍然可以成功修改。

工具集和惡意軟體家族 (Tools & Malware Families)

駭客所用的特定工具或惡意軟體。

可能需要開發或尋找新的工具，這需要大量的努力和成本。

TTPs (Tactics, Techniques, and Procedures)

駭客的行為模式和方法─戰術、手法、流程。

變更 TTPs 需要駭客對其技術進行重大調整，要花更多時間和資源。

痛苦金字塔使用方式

對防禦者（藍隊）來說，理解這一模型有助於確定哪些資訊和策略對抵抗駭客攻擊最有價值。透過聚焦於金字塔的上層，防禦者可以使駭客的工作變得極為困難，從而提高防禦的有效性。

對攻擊者（紅隊）來說，了解這一模型可以幫助他們評估自己的策略和技術是否容易被偵測和對抗。如果紅隊發現自己的活動處於金字塔的上層，表示會可能會面臨更大的阻力和挑戰。因此，紅隊可以進一步優化或改變其策略，以避免被快速偵測和對抗。

瞭解資安設備的偵測和防護機制對紅隊有什麼幫助

1. 提高攻擊效率
   • 了解偵測與防護方式，進行客製化攻擊
2. 增加隱蔽性
   • 減少被發現的風險
3. 評估與優化攻擊策略
   • 增加成功率
4. 協助藍隊找到可以提升防禦的方法

如何瞭解設備偵測與防護機制

1. 手冊
   • 定義：手冊通常是製造商提供的正式檔案，說明資安設備的所有功能、設定和工作原理。
   • 優點：它提供了設備官方說明，包括建議的使用方法與注意事項。
   • 限制：製造商可能不會公開說明這個資安設備的所有內部機制，特別是那些可能被攻擊者利用的弱點。
   • 應用：紅隊可以參考手冊以瞭解設備的基本功能和設定，並根據此資訊制定攻擊策略。
2. 公開的檔案
   • 定義：學術研究、研討會論文、部落格文章等，由第三方研究者分享他們對資安設備的研究成果。
   • 優點：這些公開資料通常包含了設備的深入分析，並提供現實世界的例子和案例研究。
   • 限制：版本過就，因為這些分析可能基於舊版本的設備，或者只考慮了某些特定的使用情境。
   • 應用：紅隊可以利用這些研究獲得新的攻擊思路或瞭解特定設備的已知弱點。
3. 論壇討論
   • 定義：許多社群中，成員經常討論他們的發現、問題和經驗。
   • 優點：可直接反應真實世界中的問題和挑戰。
   • 限制：討論品質不一，會有誤導或不正確的資訊。
   • 應用：紅隊可以從這些討論中獲得現實世界的攻擊策略和建議，並與社群成員交流獲得更多的洞察。

逆向工程

逆向工程也是一個可以用來了解整個設備的設計邏輯，分析軟、硬體的過程，而不需要存取其原始碼。

甚至透過逆向工程，紅隊可以發現設備的未知弱點或繞過方法。

1. 步驟

   • 資料蒐集：收集有關目標的軟體或是硬體的資料，包含上述提及的使用者手冊、使用者回饋等。
   • 選擇工具 ：選擇逆向工程，可能也會因為逆向目標而有所不同。
     • 軟體
       • IDA Pro, OllyDbg, Ghidra
     • 硬體
       • 邏輯分析器或示波器
   • 解釋構造：逆向核心，將編譯後的程式碼解譯回高階語言或理解硬體的工作原理。
   • 分析 ：分析構造，找出軟體或硬體的工作方式、演演算法、資料流等。
   • 尋找弱點 ：找出弱點與錯誤，以及可能的攻擊方向。
   • 撰寫報告

2. 逆向可以逆什麼

   • 軟體：專注於分析軟體的二進位程式碼，瞭解其內部結構、演算法和功能。
   • 硬體：通常涉及物理設備的解構，瞭解其元件和工作原理。
   • 協定：研究通訊協定，瞭解資料的傳輸方式和格式。

3. 學習方式
   a. 正規課程 ：很多大學都提供相關的逆向工程課程。
   b. 線上資源 ：有許多線上的教學、論壇和網站如 Crackmes 或 Reverse Engineering Stack Exchange 可以提供實際的練習和解答。
   c. 實際練習 ：透過分析開源的軟體、過舊的軟體或具有已知弱點的軟體來學習。
   d. 參加競賽 ：參加 CTF (Capture The Flag) 競賽， CTF 有逆向工程的題目。
   e. 閱讀書籍 ：市面關於逆向工程的書。

寫病毒繞過設備機制

• 知道資安設備如何偵測威脅，紅隊可以設計特定的病毒或惡意軟體，專門繞過這些偵測方法，這種知識使得攻擊更加隱蔽。

1. 樣本混淆（Obfuscation）

• 定義：是將病毒程式碼修改為難以理解或分析的形式，但其功能保持不變。
• 優點：透過混淆，病毒可以避免基於特徵或模式的偵測。
• 學習方式：研究程式碼混淆技術，如加密、程式碼變換、動態程式碼生成等。

2. 多型程式碼（Polymorphic Code）

• 定義：每次病毒傳播或執行時，它會更改其程式碼，但其功能保持不變。
• 優點：這讓基於特徵的偵測工具難以識別病毒，因為它每次出現時都是不同的。
• 學習方式：研究程式碼變換技術，以及如何在不改變功能的情況下更改程式碼的外觀。

3. 使用合法的流量或行為模擬

• 定義：模擬正常的系統或網路行為，從而使病毒看起來像是正常活動。
• 優點：這可以欺騙基於行為的偵測工具，因為它看起來像正常使用者的活動。
• 學習方式：瞭解正常的網路和系統行為，然後設計病毒行為以模仿這些行為。

沙箱環境模擬防禦設備進行攻擊模擬

• 透過建立一個隔離的環境，紅隊可以在不對真實系統造成損害的情況下模擬攻擊。這有助於測試和完善攻擊技巧，並預測資安設備的反應。

1. 類似真實情況裡面進行模擬
2. 因為沙箱是與一般環境隔離，就算研究惡意程式也不會影響

反偵測的技術

1. 流量分散
   • 將攻擊的資料流量從多個不同的來源點分散傳送，以使得偵測更為困難。
   • 作法
     1. 使用代理伺服器或 VPN，使真實的來源地址隱藏。
     2. 利用 botnet，從多個被感染的設備傳送攻擊流量。
     3. 定時、分批傳送流量，避免大量突發流量被偵測。
   • 學習方式 ：研究各種代理技術、VPN、Tor 網路等，瞭解如何隱藏或模擬 IP 地址。
2. 模仿正常行為
   • 模仿合法使用者或合法應用程式的行為，以避免被資安設備識別為惡意活動。
   • 作法
     1. 對目標系統進行初步的偵察，瞭解正常的通訊模式和行為。
     2. 使用合法的帳號認證或模仿正常使用者的操作。
     3. 逐漸增加或變化攻擊頻率，以避免引起異常警報。
   • 透過行為分析和流量模式分析，學習如何模仿正常的使用者行為。
3. 使用加密
   • 使用加密技術來隱藏惡意活動，使其看起來像正常的加密流量，從而使資安設備難以辨識真正的攻擊內容。
   • 作法
     1. 對惡意 payload 或命令和控制通訊進行加密。
     2. 使用 SSL/TLS 隧道來避免內容被嗅探(觀察)。
     3. 利用加密技術來隱藏惡意程式碼，如使用 packers 或 crypters。
   • 研究各種加密演演算法、工具和技術，並瞭解如何在實際攻擊中使用。

紫隊之路：紅藍隊的共享，模擬之後如何繞過分享給藍隊改善防禦策略

紫隊是紅隊和藍隊的結合。模擬攻擊後，紅隊應詳細報告其發現，包括如何繞過設備的方法。這樣藍隊可以瞭解其防禦策略的盲點，並根據紅隊的建議進行調整和改進。這種合作和共享知識的方式提高了整體的資訊安全水平。

小結

本篇文章介紹了如何瞭解資安設備的偵測和防護機制，以及如何利用這些知識進行攻擊模擬和繞過防禦機制。