如何在有限的時間,進行資安事件調查

發佈日期: 2025-03-16作者: steve

這是一個在做攻防演練的時候有人提問的問題,問怎麼在有限的時間內找出端倪?

當這個問題出現的時候,我自己的會做的方向是

  1. 釐清目前的狀態,是被插旗?還是感染?
  2. 從網路設備中釐清,駭客針對哪台主機哪個服務?
  3. 資安設備中識別找出攻擊者,如果沒有,那是不是在對應的日誌上有其他的可疑紀錄?

上述基本上都可以在一些設備或是日誌主機上找到一些蛛絲馬跡,如果找不到,那我們就需要花一點心思把目標轉移到主機上面?或是當你釐清可能是哪台之後,就可以往主機調查。

對於主機的事件調查,通常都會有一定的SOP流程,可能包含看一些系統日誌,檢查是否有異常的程式在運行等等,這些其實目前都有現有的工具可以進行自動化的搜集與分析,所以這邊邊將焦點放在應用程式上的分析。


在進行資安事件分析時,應從事件資料出發,回溯至受影響的主機,並依據以下步驟進行全面性調查,以找出潛在威脅與入侵來源。


1. 確認受影響的服務與工作目錄
首先,根據事件記錄,定位受影響的服務,並確認其對應的工作目錄與相關日誌檔案。此步驟至關重要,因為不同應用程式與服務存放日誌的方式各異,確保分析方向正確可提高調查效率。

2. 深入日誌分析
透過日誌分析,可還原事件發生的時間軸與異常行為模式,主要關注以下三個核心要素,必要時進行交叉比對,有助於釐清攻擊的先後順序及掌握實際的手法:
來源(Source):辨識攻擊發起者,如 IP 位址、使用者帳號或可疑的程式執行來源。
時間(Timestamp):標記異常活動發生的確切時間,以便比對系統變更紀錄。
行為(Behavior):分析可疑指令、異常存取權限變更、非預期檔案寫入等行為。

3. 檢查工作目錄中的異常檔案
在受影響的工作目錄下,尋找是否存在非預期的檔案,並且確認權限是否正常,例如:
未知或可疑的執行檔
異常權限變更的檔案
最近新增或修改的檔案
異常程序與暫存檔案

透過這些記錄,可推斷攻擊者的可能手法,如是否涉及資料盜取、SQL 注入、遠端執行指令(RCE)、權限提升(Privilege Escalation)等攻擊。

分類: Blue Team, CyberSecurity | 在〈如何在有限的時間,進行資安事件調查〉中留言功能已關閉

關於紅隊、滲透…

發佈日期: 2025-02-18作者: steve

這個領域應該是在資安當中我算是最喜歡的其中一個領域,也是我的第一個點技能的領域,為什麼說喜歡?原因很簡單就是你是一個實實在在的駭客,可以存取你想要的目標系統,這其實也是大多數滲透測試、或是在做紅隊演練過程當中我們需要的一個最重要的步驟,你沒拿下權限,什麼都不用說。

常見的漏洞類型可以參考Exploit-db ,上面分了簡單幾種的類型dos 、local 、remote 、web apps ,這幾種類型,對於駭客來說,要拿下一台主機的權限會有很多複雜的因素需要考量,單純的拿權限來說,最好的權限就是主機的最高管理者權限,次要是一般使用者權限,最常拿到的其實是更低的使用者的權限(如:www-data) ,不過有拿下權限總比沒拿下好,拿下了,才有機會提升權限,才能幹大事,否則拿了一個很低的使用者權限,能做的事情就有限。

很多時後為了拿一個權限,或是最高管理者權限,通常都需要搭配一些不同的攻擊技巧,甚至需要打通其他主機才有機會拿到。

以下這張圖是一個常見的紅隊攻擊他的一個生命週期,通常在做攻擊的時候最討厭的就是Recon 這個步驟以後的東西,Recon 全名為 reconnaissance 顧名思義就是做偵查,偵查其實算蠻好玩的一個領域,不過查歸查,打得進去才是重點,沒打進去,什麼都不用完,而打進去之後通常會進到下一個步驟遇到Escalate Privileges ,需要做一個權限提升或是可能會設法維持基本的存取權限,偏偏目前大部分都有一些資安防護設備如:防毒軟體、EDR等需要克服,需要在不被發現的情況底下,你才有機會繼續在那台主機活動,所以換個思維,真的要入侵一個企業一套系統,可能你在面對的同時,你也得有心理準備要繞掉一些資安防護設備,因為他們可能使你拿到基本的權限以後,想要放置惡意程式沒得放,甚至基本的連線可能就有IDS/IPS等設備做偵測,甚至直接阻攔。

接下來後面有文章分別針對這幾個步驟,做詳細的說明,甚至帶一些這幾個流程當中,常用到的一些工具及攻擊程式。

Ref : https://www.yaksas.com/p/red-team-operations-attack-lifecycle

分類: CyberSecurity, Red Team, Uncategorized | 在〈關於紅隊、滲透…〉中留言功能已關閉

峰值體驗2 課程心得

發佈日期: 2025-02-09作者: steve

這次利用了過年的連續假期,將去年時候買的線上課程看了幾個覺得重要的章節,當初會買這個的原因是因為想了解,站在產品開發案、行銷的角度,到底可以有什麼可以調整的。

當初在買的時候聽了幾個著名的Youtuber分享,以及買了峰值體驗的書籍,看了幾個重要的環節,發現應該會對我在洞察跟工作有關的事物,應該會有很顯大的幫助,不過去年的時間非常的緊湊,沒有一次看完幾個重要的部分,所以聽下來真的頗有一些難度。

這次為什麼想利用過年期間看呢? 主要是因為我想透過峰值體驗這門課來了解目前身心靈相關市場、以及目前跟我工作相關的市場有什麼我可以做一些努力及調整的,並且找到其中的定位。

這門課程基本上我並沒有全部看完,不過大概已經把幾個重要的框架及架構都看了一輪,在看的過程當中,也發現很多跟心理學相關的應用,在這門課我認為主要是在幫在你茫茫大海當中,幫你聚焦,而你只需要針對聚焦後的結果,朝那個方向執行,必且定期的更新、調整,你就可以保有一個彈性以應付你在日常生活當中的大大小小事件。

這門課在上課的過程當中 ,不斷地提到進店、轉化、複購及推薦,並且針對不同類型的人,包涵你熟識的人、不熟識的人,甚至是你討厭的人等,你需要根據不同的人,給予適當的調整,這不只是人,而包涵事、時、地、物等,你都需要根據他的不同,給予不同的對應。

這門課一直看到最後,會讓我想到,我所面對的所有人、事、時、地、物等等,每個東西都是獨一無二,獨立的個體,有他自己運作的狀態及震動方式,而怎麼跟他進行相處,這時候你會需要同理、了解,當你理解他為什麼這樣做,那你就可以找出適當的方法來跟他進行互動。

這門課除了幫助在本身的工作上,也是可以幫助自己打造自己的品牌、跟人建立互動的關係。

Ref :

  1. https://www.books.com.tw/products/0011005383?sloc=main
  2. https://sat.cool/course/74

分類: Body, Mind and Spirit | 在〈峰值體驗2 課程心得〉中留言功能已關閉

關於催眠師拿證之前的11個問題

發佈日期: 2025-01-27作者: steve

以下分享再拿催眠師證照之前課堂中,老師問了幾個問題 ,這幾個問題,蠻適合定時的復盤自己對於催眠的心路歷程。

  • 在未學習催眠前 , 覺得催眠是什麼 ? 學習催眠後你覺得催眠是什麼 ?

我認為學習催眠前,會覺得就像在電影場景裡一樣,看著時鐘,看著催眠師的手,就可以被催眠師任意的操控,但學習催眠後發現,催眠其實無所不在,而我們透過催眠讓你自己的淺意識出來,讓你更認識最深層的自己。

  • 依你之所見,催眠可以怎樣的協助他人或自己﹖

對於自己,可以在自己比較焦慮、不安、壓力等等情況下,透過自己錄製音檔,或是經由他人協助等方式,讓自己先靜下來,透過催眠尋找自己,並且給予自己力量,也可以在自己的催眠過程中好好的療癒自己,嘗試的做一些不一樣的練習或是改變,當內心習慣之後,漸漸地在外面的生活當中,也會開始改變。

對於他人,會根據個案的狀況,並且在個案願意自主進入催眠的過程當中,加入對個案有意義的語句,甚至配合他習慣可以讓他安心的物品,幫助他在催眠的整個過程當中,變得很安穩,且很快地進入很深層催眠狀態。對於他人,催眠是個可以幫助他認識到他不一樣的自己,並且從催眠過程當中學習面對自我的課題。

  • 這個課程中,你最喜愛那個課題或技巧?為什麼?

透過跟個案對話及整合心理學相關的技巧技巧,催眠課程當中,因需要讓個案可以在短時間內進入催眠狀態,所以需要具備很多不同的訊息來源,並且需要有足夠豐富的經驗,以利當個案在催眠過程當中所遇到的狀況,可以有效的陪伴個案更勇敢的面對自己的議題。

  • 依你之所見,催眠師應該扮演怎樣的角色?

我認為催眠師算是一個幫助個案在淺意識引導的輔助角色,透過淺意識的引導,讓個案更認識自己。

  • 依你之所見,一位專業催眠師需要具備怎樣的條件﹖

  勇敢面對自己的議題、以及愛自己。在催眠的過程當中,不將自己的議題、情緒、批判等帶入催眠,並且站在比較高維度的角度去看整個過程。

  • 當個案問你:催眠是什麼,你會怎樣回答﹖

催眠,其實就像在作夢,那種清醒與不清醒的感覺,催眠是一套工具,可以幫助你認識你自己的淺意識。

  • 當個案問你:我真的被催眠了嗎?你會怎樣回答?

對於個案,無論個案的催眠程度深淺,我自己會很堅定地回答有,並且在進行正式催眠之前,透過催眠感受測試,觀察個案在感受上哪個較為強烈,讓後續再做催眠的過程當中加強催眠的效果。

  • 當個案問你:前世是真的嗎?你會怎樣回答? 

我會回答是真的,因為這個是你透過你過去有經歷過才有這些記憶,這個前世是專屬於你自己的某一世,目前也有不少人在討論前世的相關議題。

  • 請回顧一下,學習催眠前的你是怎樣的你?

那時候的我已經對自己有一些認識,自己平常也會做靜坐、冥想、閱讀身心靈書籍。

  • 請感覺一下,學習過催眠後的你是怎樣的你?

 從催眠當中,可以以不同的角度看待事情,更間接地認識很多不同面向的我。

  • 這個課程讓你自己學習及得到或改變了些什麼?

讓我更認識自己,也從課程每個階段的催眠當中,都可以找得到之前在諮商過程中沒發現的細節,這些細節可以幫助我理解過去到底被什麼樣的情緒受困。

  • 請敘述自己被催眠的經驗與感覺﹗

催眠的過程中,會專注在聲音,引導,透過引導的方式,可以感覺得到就像看電影一樣有畫面,在過程當中也會有很多的感覺出現,就有點像是在做清醒夢一般,其中會有感覺的到有另外一個自己出現,而原本的自己會先在另外一個地方待著。

分類: Body, Mind and Spirit | 在〈關於催眠師拿證之前的11個問題〉中留言功能已關閉

我的第一張 催眠師證照 NGH

發佈日期: 2025-01-27作者: steve

這是在2022年拿下的第一張非資安類型的證照,對我來說應該算從資安相關領域轉換跑道至跟身心靈有關的第一張證照,這門課程前後大概花了將近一年的時間,從上課到接個案,到撰寫相關報告經老師核可後才給予得到的證照。

至於為什麼會想拿這張證照,也是因為在做2022年前後,開始進行了諮商,也透過諮商的過程當中,發現對這一塊領域很有興趣,所以也在心理師的鼓勵之下,決定來上課,並且拿到正找。

NGH 全名為 National Guild of Hypnotists 一個非營利教育組織,致力於推動催眠學的研究與發展。成立於1950年的NGH,為全球催眠師提供了一個交流、學習和成長的平台。

NGH的使命有以下三個:

  1. 倡導催眠專業: NGH 不斷努力,爭取讓催眠師成為一個獨立的專業職業,並制定相關的倫理規範。
  2. 推廣催眠學: NGH 提供一個開放的論壇,讓催眠師們自由交流想法,共同推進催眠學的發展。
  3. 支持催眠師: NGH 為會員提供豐富的資源,包括出版物、研討會等,幫助他們提升專業技能。

關於催眠我認為他無所部在,透過這門課程可以有系統系統的去學習怎麼認識是催眠,實際上每個人都是自己最偉大的催眠師,而這門課程會讓你透過催眠,認識你以及你所接觸的人、事、物,讓你有不一樣的看法與見解。

分類: Body, Mind and Spirit | 在〈我的第一張 催眠師證照 NGH〉中留言功能已關閉

資安事件調查心法

發佈日期: 2025-01-27作者: steve

當發生資安事件的時候,想必讓大家刻苦銘心,因為在發生事件的開始,我們需要在短時間內針對事件進行處理,並且找出問題的根源,往往開始的同時壓力就來了,因為有很多線索及調查的細節都需要我們掌握,所以接下來我想透過以下幾個面向幫助大家在下次面對問題的時候可以透過以下幾個步驟,幫助你找到事件調查的一些脈絡,在下次事件來臨的時候你可以不慌不亂的處理事件。

以下有四個面向可以在調查的時後幫助你快速識別異常的狀態

  1. 當下:針對當前電腦的狀態進行分析,包含出事當下的畫面、使用者做了哪些事情
  2. 檔案:透過採證過後的檔案進行分析,找出異常的檔案狀態,可搭配EDR 、端點或是將檔案產生Hash 送到威脅情資平台進行比對
  3. 封包:封包可以配合資安設備如IDS/IPS 或是NDR 進行分析,找出異常的行為。
  4. 日誌:日誌可以配合SIEM或是一些日誌分析軟體,找處有問題的來源、行為及相關動作。

在調查的時後可以參考以下四個步驟進行分析:

  1. 選擇
  2. 萃取
  3. 分析與識別
  4. 歸納

這四個步驟的目的其實是幫你建立一個調查的脈絡,因為資安事件發生的同時,我們需要從不同類型(角度)的資訊進行搜集分析及彙整,故需要針對不同類型的資料採取適當的分析平台,例如日誌分析可以搭配日誌分析軟體(ELK 、notepad++ 或是Splunk 等工具),並且在時間內針對重要的欄位資訊進行拆解,找出資訊跟資訊之間的關聯,必要時可以進行關聯比對,透過許多的證據拼湊出一個整個事件的藍圖,而證據跟證據之間,多少有機會找到共通的特性,例如:時間、IP、攻擊手法的前後順序等,透過這些證據之間的拼圖,有機會幫你拼出事件的原貌。

分類: Blue Team, CyberSecurity | 在〈資安事件調查心法〉中留言功能已關閉