文/廠商新聞稿|2025-06-18發表

在現代企業資安戰場上,靜默的滲透往往才是最致命的威脅。一次沒有告警的紅隊演練,揭露了企業防禦的盲點,而這個破口,最終是靠一項戰術性佈署 —— 欺敵技術 —— 才得以反轉。

紅隊演練的真正價值,不是攻破,而是「是否被發現」

成熟的企業每年都會定期進行紅隊演練,模擬真實攻擊者入侵行為,藉此驗證整體防禦系統是否具備:

  • 威脅識別能力

  • 權限濫用的偵測機制

  • 橫向移動與資料外洩的反制能力

在這類演練中,紅隊的「成功」不應該只看是否攻破,而是:攻破過程是否被即時偵測與回應? 如果紅隊能在無聲無息中完成所有目標,那麼對藍隊而言,就是一次徹底的失敗。

 

滲透案例:一場「零告警」的攻擊行動

在一次對大型企業的紅隊演練中,攻擊目標明確:奪取 Active Directory 的網域管理員控制權。

攻擊者並未採用高調的漏洞利用,而是選擇安靜而有效的方式——LLMNR 中毒攻擊(LLMNR Poisoning

手法如下:

  1. 在內網中部署含有 Responder.py 工具的裝置

  2. 偵測並攔截廣播封包中的名稱解析請求

  3. 欺騙用戶端將 NTLM 認證雜湊回傳

  4. 使用暴力破解或轉換技術取得明文憑證

  5. 透過已取得帳密進行橫向移動並提權至 Domain Admin

整個過程未被任何 EDR、SIEM 或網路監控設備攔截。攻擊者如入無人之境。

 

為何 LLMNR Poisoning 難以偵測?

LLMNR 是 Windows 環境中設計用來處理 DNS 查詢失敗後的備援機制。雖然便利,但缺乏身份驗證與封包完整性驗證,使其成為極佳的 MITM 攻擊載具。

此外:

  • 多數偵測系統對此類本地層級封包缺乏監控能力

  • 攻擊封包偽裝成正常 LLMNR 流量,不易被識別

  • 攻擊者常部署獨立裝置,不受任何資安代理控管

結論很清楚:這是一種幾乎沒有現成防禦機制能即時識別的技術性滲透。

 

轉守為攻:欺敵系統如何改變結果

為應對這一盲區,藍隊導入了 Acalvio ShadowPlex 欺敵平台,該平台並不依賴 signature 或特徵比對,而是透過「誘敵佈署」的方式,讓攻擊者主動暴露行蹤。

藍隊採取以下策略:

  • 在網路中主動散佈誘餌型主機名稱,模擬存在可利用的裝置

  • 佈署假的 LLMNR 廣播封包,故意引誘攔截

  • 一旦紅隊裝置對誘餌廣播作出反應,ShadowPlex 即刻產生警報並定位攻擊來源

這場演練的第二階段,紅隊再度使用 LLMNR Poisoning,但這次,誘餌讓攻擊者提前暴露,藍隊得以及早攔截。

 

策略意義:欺敵技術是威脅偵測的加速器

這場案例給予以下重要啟示:

  1. 滲透技術已經從高調漏洞攻擊,轉向低可見性技巧滲透

  2. 若只依賴既有防禦架構,將遺漏內部橫向移動等關鍵階段行為

  3. 欺敵技術能在不影響正常使用者體驗下,部署高精度誘捕機制

欺敵技術的核心價值,不在於阻擋攻擊,而在於:

  • 將難以偵測的行為轉為可被監控的事件

  • 擷取攻擊者的操作模式與偏好,進行攻擊情報收集

  • 主動引導攻擊行為脫離真實資產,降低實際風險

 

結語:盲區不該是風險的灰色地帶

企業若想對抗現今高階威脅,不能只靠傳統防線,而應將「偵測難點」視為新策略的起點。

ShadowPlex 所展現的,不只是欺敵技術的可能性,更是一種資安思維的轉變:
從守勢防禦,轉為主動誘敵、引導、監控與干擾的複合型策略。

在這場紅隊演練中,我們學到了一個重要教訓——看不見的攻擊,才是真正的危機;而看得見的攻擊,才有機會被化解。

關於 Acalvio Technologies

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者,其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio是CMMC第三方評鑑機關Booz Allen Hamilton戰略合作夥伴,共同推動零信任環境採用欺敵策略。Acalvio ShadowPlex是唯一經美國授予聯邦政府風險與授權管理計劃FedRAMP 認證可用於美國政府環境的專利自主欺敵產品,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技

 desiree@billows.com.tw 電話: 02-25623952 ext. 16

熱門新聞

Advertisement