「不明流量背後的真相」可以探討那些難以辨識或來源不明的網路流量，並分析可能隱含的安全威脅。這類流量可能與惡意攻擊有關，也可能是系統運行的非預期結果，常常引發網路管理員或安全專家的注意。以下是幾個要點：
1.不明流量的來源(必備)：可以通過防火牆、入侵偵測/防禦系統（IDS/IPS）、NDR 等技術進行網路封包監控，以識別潛在的資安威脅或漏洞。
(1)惡意攻擊：目的是癱瘓系統、竊取資料或進行其他破壞行為。
-偵掃行為：
--外網對DMZ區：透過外部不明IP單台或多台，針對DMZ區Web主機進行漏洞攻擊(含Dos或DDoS)
--內網對內網：當企業內部主機遭入侵後(弱密)，受害主機被安裝可疑軟體，並自動建立本機帳戶，針對多台主機進行特殊埠掃描(445)或嘗試RDP遠端連線等行為
-惡意軟體：當用戶安裝某些免費軟體時，可能會不知不覺中也安裝了惡意軟體、廣告軟體或間諜軟體，這些軟體可能會在背景悄悄運行並產生異常或未知的網路流量。
(2)殭屍網路（Botnet）活動：受感染的設備可能會被攻擊者控制，成為殭屍網路的一部分。攻擊者利用這些設備發動大規模攻擊(如DDos)，導致設備產生大量異常或可疑的網路流量(C2)。
(3)內部不當操作：員工用戶誤配置網路服務或設備，導致意外生成大量流量，看似惡意但實際是非故意的操作錯誤。
2.NDR介紹：
(1)NDR（Network Detection and Response，網路偵測與回應）是一種網路安全技術，專門用來檢測、分析和回應網絡中潛在的威脅。NDR 系統通過監控和分析網絡流量，識別異常行為，並在偵測到攻擊或威脅時自動或手動做出回應。NDR 主要專注於網路層面的安全防護，能夠補充其他安全技術如 EDR。
(2)NDR 的用途：
-威脅偵測：NDR 系統通過監控網絡流量中的異常模式，能夠識別惡意活動，如滲透攻擊、DDoS 攻擊、資料外洩等。它可以檢測到的威脅包括：未知或零日攻擊、高級持續性威脅（APT）、殭屍網路通信、流量加密的惡意活動。
-威脅分析與可視化：提供詳細的網路活動分析，幫助資安團隊了解威脅的來源、範圍和影響。透過流量的深度包解析技術，它可以分析協議和應用層的流量，找出異常行為。
-自動化回應：自動回應已識別的威脅，如阻止可疑流量、隔離受感染設備或觸發告警(如整合防火牆、AD-自動、半自動)，以減少攻擊的擴散和影響。
-補充傳統防禦系統：NDR 能夠與防火牆、入侵防禦系統（IPS）、SIEM 平台整合，補充其不足之處，特別是在應對內部威脅或高級攻擊時，NDR 可以提供更深層次的流量分析和威脅識別。
-資料合規和審計：通過持續監控網路活動，還有助於確保企業遵守資料隱私和安全合規要求，如 GDPR 和 PCI-DSS，並提供詳細的事件記錄用於審計和取證。
(3)NDR 與 EDR 和 SIEM 的區別
-NDR：專注於網路層面的偵測和回應，分析整體網部流量，適合識別內部滲透、網路中的橫向移動等攻擊。
-EDR（Endpoint Detection and Response）：專注於終端設備的行為分析和回應，特別針對個別設備上的攻擊活動。
-SIEM（Security Information and Event Management）：主要收集和分析來自多個來源的安全事件日誌，並提供整體安全狀況的可視化報告和告警。
總結來說，NDR 技術能夠透過分析網路中的異常流量和行為來識別潛在威脅，對於高級攻擊特別有效，並且能與其他安全技術整合，為企業提供一個更全面的安全防禦體系。
3. 防範和應對措施
(1)強化網路邊界防護：加強防火牆規則、設置入侵偵測系統，並保持軟件更新以避免已知漏洞被利用。
(2)網路分段：將內部網路劃分為不同的區域，降低攻擊者在成功滲透後橫向擴展的機會(如OA、Sever farm、DMZ)。
(3)加強用戶權限控制：僅授權必要人員訪問核心系統(如AD、WSUS、防毒)，並且定期審查權限設置，防止內部人員誤用或濫用權限。
(4)定期進行漏洞修補與滲透測試：及時發現潛在的漏洞和不明流量的異常來源，並及時修補弱點。
(5)多層次的安全策略：通過多重身份驗證、加密通信、流量異常行為檢測等手段，形成綜合防禦體系。

以上可以幫助深入探討不明流量的可能來源、分析方式及應對策略，強調其背後可能隱藏的各類網路攻擊威脅。

4.分享藍隊日常的趣事：
最近導入了一套系統，需在用戶端安裝代理程式（Agent）進行回報。然而，擔心防毒軟體會將其誤判為異常行為並阻擋，導致回報失敗。詢問廠商後，他們提供了一個包含約好幾百個路徑和資料夾的白名單清單(這些路徑大多位於 System32 或 Windows 資料夾下，而這些地方往往是惡意程式藏身的區域，無法輕易用萬用字元來取代)，看得相當吃力。因此，在進行 POC（概念驗證）時，一定要確認清楚，避免日後工作過程中出現不必要的困擾(那時候白名單的數量，還沒有那麼多呢)....