【臺灣資安大會直擊】先下手為強的另一種資安左移策略！掌握可能遭攻擊的先機

除了積極鞏固防線，盡可能不要犯錯，以免增加入侵者的可乘之機，許多人可能也會想到能否反擊？使對方更不敢輕易越雷池一步！但也擔心因此激怒對方而發起更劇烈、更難以招架的報復行動，而得不償失。過往我們知道的資安反制手段是欺敵（Deception），設下陷阱進行誘捕，進而獲得主動防禦能力，自由資安顧問PD Lee在2025臺灣資安大會也針對這項議題進行探討，他說明一種更進階、危險性也更高的作法，他稱之為「逆襲中繼站」，透過他實務操作的經驗，為大家提供不同的防守思路。

首先，他特別警告，若要採取這樣的作法，千萬不要透過自家辦公室的網路環境進行反擊，因為攻擊者一旦發現有受害者從他們原本鎖定的網路環境反擊，有可能會對這個網路發動報復行動，例如DDoS攻擊，然而，CDN或網路流量清洗的防禦服務，可能需要滿足一些條件，才能幫忙緩解辦公室的網路環境所面臨的大規模網路流量。

實務上，要如何進行「逆襲中繼站」？PD表示，在傳統資安事件處理流程當中，當他察覺遭到攻擊，會開始分析樣本、找出C2中繼站、封鎖C2，接著將樣本提交給防毒軟體廠商或資安廠商，並且清查所有受影響的設備跟主機，設法恢復運作，之後執行安全評估，了解該實施的補強，避免駭客再次用同樣的方式打進來。

但是，在過程中，PD還會再做一件事情：試著「打回去」，一旦成功，會接管攻擊者部署的中繼站，若運氣好，還能進入對方的「兵器庫（駭客存放攻擊工具的地方）」，找到後，能每天分析攻擊者上架的各種工具樣本。因此，當攻擊者對他負責的單位發動實際攻擊之前，就能夠先擋下來；在防守方完成上述「超前部署」，攻擊者發動攻勢之後，會出現看似成功部署、資料卻一直無法回傳。PD說，這可能讓對方打到懷疑人生。

在某些情境下，上述做法也有機會帶來意外收穫，例如，潛伏在單位內部的一些惡意使用者，有可能會浮出檯面。

逆襲中繼站之所以可行，其實，也跟黑色產業的角色分工有關，PD以東南亞、非政府網軍的生態為例說明，點出攻擊者分為兩種，一是要價高、數量稀少的Hacker，他們能負責搜集跟挖掘各種資安漏洞，以及量身打造後門，另一是OP，有些人會負責建置與維護中繼站環境，或是實際發動社交工程，多種負擔很重的攻擊工作會交給OP執行，有些人可能是忠於黑色產業主事者、聽話的自己人，負責回收偷盜、搶劫到的個資名單或機密資料，避免駭客取得資料後，不只上繳至組織，還擅自偷偷轉賣牟利。

找到中繼站，反滲透至攻擊者的基礎設施

對於防守方而言，如果能找到中繼站，接下來如果想要對攻擊者進行反制，該如何著手？PD列出4種常見作法：善用已知漏洞或不當配置、未公開漏洞、偽造被入侵環境進行反監控，以及社交工程，前兩種與最後一種都是攻擊者常用的伎倆，共通點是以其人之道還治其人之身，並不難理解，反監控則與上述的欺敵或誘捕的概念有關。

無論採用傳統的資安事故應變流程或進行反制攻擊者的行動，要突破的共通關卡，就是分析樣本、找到中繼站，PD提供兩種方法：運用資安事故應變處理工具（IR Tools）、沙箱檢測環境（Sandbox），像是VirusTotal、Any.Run、Cuckoo Sandbox。

在上傳疑似帶有惡意軟體的樣本時，PD提醒大家不要上傳可能包含公司機密資料的樣本，因為他過去常在這些平臺找到臺灣企業的機密文件，上傳資料的人可能以為他找到的檔案裡面有病毒，於是，將這些他判斷為惡意文件的資料，直接送至沙箱檢測環境分析，結果反而因此意外暴露機敏資料。

而在分析樣本的過程中，由於攻擊者有時也會對這些惡意檔案進行混淆（Obfuscation），PD用自己做的樣本舉例說明，當中採用兩次ROT13（迴轉13位，一種替換式密碼），以及兩次Base64編碼處理，他提醒大家實務採用的手法可能會更複雜。而解開這些遮蔽之後，就有機會找到底下的中繼站位置。有時防守方會發現對方的惡意檔案設計不良，甚至直接把金鑰寫死在裡面，此時就可以上傳防守方寫好的webshell，進而拿下這臺中繼站。

偵測是否存在已知、未修補的漏洞，以及組態設定不當等狀況

找到中繼站以後，接下來防守方可對這些節點執行資安弱點掃描，尋找可乘之機，如果當中存在一些已知的漏洞，接下來就可以到GitHub、ExploitDB等地方，找對應的漏洞濫用方法。

另一個突破點是防守方本身也經常存在的資安空隙，那就是組態設定不當（Misconfiguration），但對於攻擊方而言，他們設置的IT基礎設施之所以存在這些風險，與他們平常接觸的線上技術教學資源，存在檔案下載來源複雜、可能藏有後門，以及技術文章與軟體版本過時等問題。

PD表示，由於特定國家實施嚴格的網路管制措施，因此，當地網路論壇相關教學文章提到的軟體，若要下載使用，必須修改來源才能取得更新；另一種情況是，攻擊者所用的軟體大多是經過修改的版本，例如，用於滲透測試與數位鑑識的Kali Linux，但水能載舟亦能覆舟，這套系統也經常被黑帽駭客改裝，因此，攻擊者可能採用的是非標準、訂製的「魔改」版本；軟體下載的位置可能也不是工具作者管理的站點，而是放在百度雲盤、迅雷等網站，供人下載，PD表示，這些檔案本身可能存在安全性疑慮，因為經過分析後，會發現當中被增添一些後門或資安漏洞。

再來就是教學文章的問題，有些內容會使讀者以為是最新整理的資訊，但仔細一看會發現這是其他網站發布的舊文，而且，上面提到軟體套件是五六年前的，若攻擊者參考這些搬磚的過期文章去架構系統，會導致所建置的IT環境本身就是存在資安漏洞的舊版系統。

小心水坑式攻擊

另一個PD要提醒大家注意使用風險的現象，則是水坑式攻擊（Watering hole），他這裡舉的例子是IT人員複製、貼上技術文章列出的指令，以及程式碼的內容，要注意裡面是否被加料。這類問題不僅危害一般IT人員，但也損及運用這些內容的攻擊者。

當我們在安裝、設定Linux系統的一些軟體套件，有時會需要輸入一大串指令，因此，我們可能會從教學文章直接複製一段相關內容，轉貼至系統執行，然而，有可能我們以為複製的文字敘述跟網頁呈現的一樣，但如果將這些內容轉貼至文字編輯器，逐一比對會發現中間突然多了一段指令敘述，PD舉的例子是被插入一個下載Shell並且執行的敘述，這個偷偷夾帶攻擊的手法並不難，對方只是在網頁的JavaScript加了一段event listener指令碼，因此，當有人到教學文章網頁複製這段批次指令執行緒敘述時，以為只是單純安裝一個軟體套件，但也同時被偷安裝了後門程式。

關於這類針對複製貼上偷加料的竄改手法，2018、2019年就出現過案例，2022年1月iThome也曾編譯過相關資安新聞，PD感慨地說，大部分的資安設備都沒辦法偵測到這種手法，所以，IT要自強、不能只靠設備，因為你會發現很多攻擊手法單靠設備是擋不掉的，而且少有廠商宣傳這種攻擊手法，所以你可能就忽略掉這種攻擊手法。

刻意收集與掌握未公開的漏洞

已知資安漏洞的公開消息多到不可勝數，但若是作為攻擊型的資安人員，本身應該都儲備一些沒有公開的資安漏洞，如果在企業端工作時，其實是有不少機會可蒐集到這些情報。PD說，當他在甲方（業主）任職，是他找到最多零時差漏洞的時候，因為每年第四季有許多資安廠商會將設備送來測試，希望企業能編列預算採購，而且，這些都是百萬、千萬等級的產品，平常資安人員其實沒有機會接觸到這麼高檔的設備。

而在實際測試與研究之後，他發現高檔的IT系統，像是ERP、BPM、CRM的內部系統，有時比家用版產品還要脆弱，顛覆越貴越好的刻板印象——越貴的、越少人接觸的設備或系統，潛在的資安漏洞可能反而更多。而將這些資訊累積起來，日後可用於發布CVE漏洞，也能當做反制網路攻擊活動的知識庫。

偽造被入侵環境進行反監控

除了奪下中繼站的控制權，防守方遭到侵入的系統雖然安全性受到危害，但其實也是反制攻擊者的重要武器，因為可以把受害主機轉生為客製化的Honeypot，藉此偽造看似遭駭、實則已被資安人員列管觀察的環境，進行反監控。

哪些系統較適合扮演這種角色？PD認為，會是相對獨立運作的環境，例如，有些使用單位的行銷部門，可能會找個懂電腦的人，自行架設WordPress平臺、在上面設置行銷網站，以便推動業務運作，但這些系統大多完全沒有考慮到安全性，因此，往往很容易被攻陷，一旦發現此類狀況出現，確認遭駭系統沒有機密資訊之後，他會建立一個隔離網段，再將受害系統複製、搬入——可透過實體轉虛擬機器（P2V）的轉換工具，將遭駭網站系統、連同被植入的後門程式轉為虛擬機器，然後放在虛擬化系統上面執行，接下來，就可以如同設置水族箱，把遭駭系統「養」在裡面，然後對其進行觀察。

在上述隔離環境當中，防守方可以植入網路封包擷取與分析器（Sniffer）、鍵盤側錄程式（Keylogger），但可能會被攻擊者發現有人正在監控他們的活動，有可能是其他也想分一杯羹、甚至企圖整碗端去的駭客組織，因此，PD建議可以運用IP-guard、iMonitor或神網進行側錄與觀察，而這些產品是目前臺灣企業常用的員工行為監控工具，反而不會打草驚蛇，因為攻擊者原本就預期受害系統本身有這樣的常態防護措施。

PD表示，如果運氣夠好，在反監控的過程中，防守方有機會搜刮到攻擊者使用的工具、加密金鑰，以及得知濫用的資安漏洞，後續可憑藉這些重要情報順勢反制。

發動社交工程、打探攻擊者情報

在資安防護領域，一談到社交工程，常令人聯想到網路釣魚，攻擊者常用一些伎倆或誘餌促使受害者上鉤（開啟惡意網站或下載執行惡意軟體），而對於防守方而言，若要進行反擊，是否也可以對其誘騙，進而牽制攻擊者的行動？

在PD的演講裡面提到，防守方為了能更近距離獲得更多攻擊者的情報，也可以透過間接互動的方式與其進行溝通，他也借用「社交工程」一詞代稱這樣的刺探。

實際上，會以何種形式進行？PD表示，有時他發現所保護的單位有主機遭到入侵，他會在系統裡面偽裝成另一批打進去的攻擊者，留下一些文字試圖與入侵者對話，在大多數情況下，得不到任何回應，但偶爾還是會出現例外，於是，彼此就開始展開一來一往的對話，他還因為這樣而收到攻擊者的工作招攬邀約，也藉此多了解對方的底細，但他坦言這種互動的成功率很低。

另一種大家比較能想像的作法，就是混入特定社群媒體的駭客技術討論頻道，進行臥底、伺機蒐集相關的攻擊資訊，不過，也要小心黑吃黑的風險，因為他發現有些人雖然無償提供很多好用的工具套件，但經過分析後，發現這些檔案有問題，背後別有居心。

接管中繼站

當防守方奪下攻擊者的中繼站之後，還有很多可以加工的部分，以便持續監控、掌握對方更多動態。舉例來說，PD他會在僅透過FTP協定傳輸檔案的命令與控制節點，安裝網頁伺服器，例如檔案分享伺服器軟體HFS（HTTP File Server）；如果中繼站本身有網頁介面，他會啟用目錄瀏覽（Directory Listing），如此一來，防守方能更容易查看中繼站存放的各種檔案與資料夾，可以隨時監控上面的資料是否更新。

有時，防守方如果遇到中繼站全都使用相同的金鑰的狀況，這意味著，只要攻下一個中繼站，後續可以繼續擴展、奪走更多中繼站，PD說，運氣好的話，可進到攻擊方的「兵器庫」與儲存區，這是最核心、最重要的部位。

接下來，該如何觀察這兩個區域的動態？PD先從檔案與資料夾的時間著手，例如，可發現攻擊工具更新的頻率或是否有增減，也能針對這些樣本進行分析，以便超前部署對應的防禦規則。例如，防守方本身如果已設置端點偵測與應變系統（EDR），可以自行撰寫一些YARA規則協助偵測、透過EDR執行防禦，會更有效率，因為這麼一來，即使使用者不慎中招，仍有很高的機率能讓攻擊失效；網路防火牆的部分，被滲透的防守方也可以運用這些資訊先行封鎖中繼站，之後就算使用者不慎點選、開啟惡意網址連結，或被植入惡意軟體，也將因此受到防火牆阻隔，無法將擷取的資料傳回中繼站。

而在回傳資料儲存區的部分，作為監控當中動態的防守方，可以注意幾個現象，像是：每個資料夾可能代表對不同目標搜括的資料，可確認上面是否有自家單位的資料，若發現有其他公司的資料，最好以間接方式提醒對方檢查，而不要直接通報，因為反制畢竟是遊走合法邊緣的手法，很難預料遭駭者接收這些訊息後的反應；個別資料夾的點閱數量高低也有意義，因為這可能表示目標中招的機會較大，若是發現部分資料夾突然消失，可能代表攻擊者打完、收工，以免被受害者察覺。

揪出內鬼

若能有效實施上述這些制敵機先的手段，攻擊者在遲遲無法獲得戰果的狀況下，若他們事先派人在受害單位臥底，可能就會接到其他裡應外合的命令，以便讓惡意連線與資料外洩的活動能恢復正常運作，但此舉有可能反而導致「內鬼」曝光。

PD表示，過去曾遇過攻擊者因為受困於防守方的超前部署，於是開始聯絡潛伏在受害單位的惡意使用者，請他們檢查相關的攻擊連線是否正常，而防守方之所以察覺這種異狀，是因為檢視防火牆連線記錄時，發現有使用者電腦本身並沒有接收惡意程式的樣本、卻有連至C2中繼站的記錄，而對應到此人的真實身分時，也發現他是被鎖定攻擊目標之外的其他部門人員；為了進一步確認該名使用者是否有不當行為，防守方還特地調閱工作場所的視訊監控系統，比對相關的時序，結果畫面顯示：這位使用者操作電腦連至中繼站之前，先到角落接了一通電話，然後回到座位、將手機放在桌面上，接著在電腦上鍵入一段網址，進行這些操作的時間與非感染電腦新連上中繼站的時間相符，後續請法務人員與其洽談，對方也坦白自己是受朋友囑託而做，於是，潛伏在內部的惡意使用者就此正式曝光。

務實理解反擊的風險與優點

分享自身的實戰經驗後，PD一再提醒「反擊駭客絕對不是一個最有效的防禦方式」，希望大家謹慎考量是否適合這麼做。然而，不入虎穴，焉得虎子，如果能在有足夠自保能力的狀態下，的確有機會扭轉「後發制於人」的傳統被動防守劣勢，甚至也能將這樣的反擊視為「後發先至」、「後發制人」，提供顛覆既有模式的防守思路。

為何防守方不敢反擊？簡而言之，擔心失控、遭到反噬、更大程度的反撲。PD列出三點考量：首先，這麼做的技術門檻很高，防守方必須同時熟悉攻擊跟事故應變的技術第二是有法律風險，攻擊者設置的中繼站有可能坐落在第三方受害者的環境，當我們攻擊這樣的中繼站，可能會被視為攻擊無辜的第三方，所以存在違法風險；最重要的是，防守方面臨的攻擊可能來自四面八方，發起入侵活動的可能不只一家，然而，攻守之間往往處於不對稱的態勢，防守方的人力有限，即使能針對部分攻擊者的活動進行一些超前部署，但其他厲害的人還是會攻打我們，所以不能單靠反擊來進行所有的防禦。

不論防守方最終是否決定採取這樣冒險的手段，但反擊所能帶來的一些好處，還是值得大家省思，例如，防守方內部應具備一定程度的威脅研究與分析能力，而非全然仰賴外部（資安廠商與資安產品）收集與產生的情資。PD表示，透過這樣的行動，可以研究對方的攻擊手法，他會把這些搬到自己架設的環境進行模擬，可藉此驗證現有的防禦機制與政策，看看是否能擋下攻擊，若無法招架，可將這些研究內容、證據整理成報告，以此實證資料分析結果向使用單位申請一些資源，以便預先部署更進階的防禦措施。

為什麼要這樣做？PD表示，過去使用單位總是要等到被攻擊者打進內部環境、進行麻煩的善後處理，才有辦法促使意識到問題嚴重性的高層，更願意投入資源以強化資安，但此時傷害已經造成，若能活用上述「超前部署」策略，就可以在事發之前獲得足夠佐證，進而藉此爭取所需的防禦資源，能以更精準、務實的方式實現「防患於未然」。