Actually, your blue team is red. Stealing your red move from the blue side
從藍隊角度復現未知的核彈級別漏洞是怎樣的過程?本議程首先分享一個案例,當我們遇到DEVCORE RedTeam使用了🍊當時於Pwn2Own取得冠軍的核彈級漏洞Exchange ProxyShell,我們是如何在當時該1-day漏洞還未向大眾公開細節時、於客戶的環境中偵測到,並利用手上少數的線索經過一系列逆向、通靈、實驗各種彎路、甚至過程中不慎挖到另一個未知1-day,並最終成功復現整個exploit chain。
接著本議程會分享我們在MDR上的心路歷程與講解MDR如何幫企業進行防禦與威脅獵捕(Threat Hunting),在攻擊者入侵企業內部時進行偵測與調查處理,我們將以實際遇到的APT攻擊手法來以及各類案例來進行說明。
最後我們會從藍隊的角度回歸到攻擊手,來分享為何對攻擊手來說如MDR這類極高度監控下的環境是場惡夢,以及藉我們的經驗來提供一些當身為攻擊手時要如何在這類環境後滲透時更好的躲避偵測以及隱藏蹤跡的技巧。
Outline
- MDR的辛酸血淚
- Case Study (DEVCORE RedTeam & 🍊)
- 分析攻擊手法與過程
- 復現當時未公開的漏洞 - ProxyShell
- Detection Engineering
- ProxyShell In The Wild
- Pratical EDR/MDR bypass
- Summary

Charles Yang
Charles Yang 目前於中芯數據擔任首席威脅研究員,擅長逆向工程、研究 APT 攻擊手法以及事件處理,興趣是喜歡偷駭客的零日漏洞

Evan Huang
Evan Huang 目前於中芯數據擔任威脅研究員,擅長後滲透手法、偵測引擎以及威脅獵捕,興趣是喜歡用駭客的 DNS 隧道來發訊息聊天