thunder@home:~$

  • Fully Disable Windows Defender

    完全關閉 Windows Defender / Fully Disable Windows Defender 注意!不建議關閉防毒軟體,建議只在實驗環境中執行 注意!不建議關閉防毒軟體,建議只在實驗環境中執行 注意!不建議關閉防毒軟體,建議只在實驗環境中執行 網路上的教學大部分都是透過修改 registry 註冊表關閉 Windows Defender 或是去 Windows Security 中暫時關閉。 但這些方法往往都不是最有效的方式,在最新版可能無效/重開機就又回來了。 本篇文章是關於如何在 Windows 10 完全關閉 Defender,分為兩部分: 關閉主要功能 (e.g. 即時掃描) 關閉排程掃描 關閉 Windows Defender 主要功能 以下是在 Version 21H1 (OS build 19043) 有用的方式 請先關閉防竄改保護,在防竄改保護啟用的狀態,Windows Defender 是無法完全關閉的。 在設定中的「更新與安全性」→「Windows Defender」 透過執行(快捷鍵: WIN+R),輸入 gpedit.msc 開啟群組原則編輯器,只要是...

  • 如何真的讀懂 ATT&CK® Evaluations Round2

    前言 這篇文章是我在奧義智慧(CyCarrier)工作時完成,將同樣的內容同步轉載在個人部落格做為紀錄 Link 建議先理解痛苦金字塔模型 (pyramid of pain) 痛苦金字塔模型是在描述攻擊方的痛點,防守方採取怎樣的防禦層次會使攻擊方更痛苦。 ATT&CK 框架主要在描述攻擊方的 TTP (Tactics, Techniques and Procedures) 與 Tools ,當防守方善用 ATT&CK 框架來做為偵測基準,攻擊方會很痛苦。 這也是為何近年全世界資安圈都十分推崇 ATT&CK 框架。 實務上雖然有些資安產品主力偵測/阻擋仍是依靠 IoC (e.g. Domain, IP, Hash)。 但長遠下來真正能夠穩定的捕捉駭客,仍要從 TTP 面向著手。 例如:許多防毒軟體都能夠偵測到 Mimikatz 這個檔案或是變種,但當出現 Fileless 版本或變種的 Mimikatz 時,有些資安廠商就無法處理,因為他們偵測的是 IoC 特徵,而不是 TTP 這類高階的攻擊手法。 不是所有的 Technique 都得一擊必殺 在正式看 Evaluation 結果之前必須先理解這句話,ATT&CK 整理了許多攻擊者曾用到的...