本議程將深入探討一種新興的高級技術，旨在繞過 Endpoint Detection and Response（EDR）系統的防禦。這項技術通過利用低階 Windows API 和操控系統調用的用戶模式掛鉤機制，讓攻擊者能夠隱匿其惡意行為，避免 EDR 的監控與檢測。攻擊者藉此突破傳統 EDR 防禦，避開檔案掃描、行為監控等防護手段，並實現持久化控制。

想知道企業安不安全，除了坐等廠商測試結果，賞金獵人回報，或是被駭客攻入，其實企業還有自我檢查這一條路。這場議程希望讓與會者能夠自行進行滲透測試的第一步驟：偵蒐，搶先一步先探查易遺漏但有價值的潛在資安問題或甚至是漏洞。議程中會利用公開可取得的免費線上資源或開源工具，配合真實案例說明偵蒐的資訊,會對企業造成麼樣的危害，期待與會者能夠帶回去企業自我探查和降低資安風險。

面對駭客的攻擊，難道只能單方面的挨打嗎？講者為滲透測試人員出身，曾在台灣駭客年會和各大資安研討會上分享過許多攻擊手法，在轉進企業IT單位工作後雖然角色互換成為了防守者，但有時還是會手癢想與駭客過過招，當駭客發動攻擊時順勢來個反擊拳！

本次將分享講者在甲方單位任職期間的相關經驗，多次透過逆襲中繼站的方式取得一些原本沒預期到的關鍵資訊，甚至透過反追蹤駭客對己方的攻擊佈署，來作為自己防禦上的佈署參考．也曾透過駭客的攻擊手法取得一些駭客用來攻擊的0-day或繞過我方資安設備的手法，分析後提供給配合的資安廠商做補強，並藉以提升自身的技術能力與思路。

隨著企業對網路安全的需求日益增長，EDR（Endpoint Detection and Response）已成為防禦威脅的核心工具。然而，攻擊者的技術不斷演進，藍隊與紅隊之間的對抗也變得更加激烈。在這場攻防拉鋸戰中，每當我們強化偵測能力，攻擊者便會尋找新的規避手段，使這場對抗不斷升級。

本次議程將剖析近年來 EDR 偵測技術的發展，並探討攻擊者如何運用混淆技術來隱藏惡意行為、如何濫用 WSL（Windows Subsystem for Linux） 來躲避傳統安全產品的監控，以及 EDRSilencer 利用 WFP（Windows Filtering Platform） 來影響 EDR 的運作機制。我們將透過實際案例，分析這些攻擊手法對 EDR 偵測帶來的挑戰，並探討藍隊如何設計防禦策略並化主動為被動，讓 EDR 在不斷變化的攻防環境中始終保持優勢。

紅到發紫 ：紅隊整合 CTEM、BAS 與 MITRE ATT&CK 框架的實戰經驗分享

在這次的演講中，我將與大家分享多年來在紅隊演練中累積的實戰經驗，特別聚焦於近兩年在持續威脅暴露管理（CTEM）和 Breach and Attack Simulation（BAS）方面的心得。隨著網路攻擊手法日益多樣化，企業所面臨的威脅也越來越複雜。為了有效應對這些挑戰，我們需要一個系統化的方法來識別、管理並減少企業的暴露面。

演講將深入探討如何結合 MITRE ATT&CK 框架，打造全面的紅隊演練策略。MITRE ATT&CK 提供了詳細的攻擊技術矩陣，讓我們能更精確地模擬真實世界的攻擊手法，找出防禦系統的薄弱環節。透過將 CTEM 與 BAS 整合進這個框架，我們可以系統性地分析攻擊者的行為模式，提升攻擊模擬的真實性和有效性。

此外，我將分享生成式人工智慧（GenAI）在紅隊演練中的新應用。隨著 GenAI 技術的迅速發展，攻擊者的手法變得更加智能化，這對我們模擬威脅和繞過防禦系統提出了新的挑戰。我會展示如何利用GenAI技術，提升攻擊模擬的深度和廣度，協助企業提前因應未來可能出現的新型態威脅。

演講中也會分享實際案例，展示 CTEM、BAS 和 MITRE ATT&CK 如何在實務中結合應用，以及在演練過程中遇到的挑戰和解決方案。這些案例將涵蓋威脅發現的流程、自動化技術的應用，以及如何優化防禦策略，提供具體可行的建議。

透過這次的分享，期望讓聽眾快速理解紅隊演練在現代風險管理中的關鍵角色，並獲得實用的策略與建議，提升企業的安全韌性。無論您是資安專業人士，還是對紅隊演練有興趣的朋友，都能從中獲得啟發，為企業建立更堅實的防禦基礎。

近年來，EDR 的進化對紅隊演練構成了挑戰，如何有效實現 Defense Evasion 成為紅隊成員的重要核心議題之一。而在眾多技術中，Loader 是載入惡意程式的關鍵元件，特別是 Reflective Loader，因為其概念具有高度靈活性及可調整的隱蔽性，成為紅隊軍火中的一大利器。

本議程將探討 Reflective Loader 的核心運作原理，並剖析現代 EDR Bypass 技術脈絡，解釋 Reflective Loader 如何突破記憶體掃描、行為分析等防禦機制的限制。藉此，提供企業資安團隊深入了解攻防雙方的技術細節，提升實戰能力，從技術層面強化防禦策略，以應對日益複雜的威脅場景。

本議程將深入探討如何提升紅隊操作中的隱匿性，確保其行動的隱蔽性及有效性。從網路層面的 DoH、ECH 到 Domain Fronting 等網絡匿名化技術；再到 Payload 管理和 C2 Server 的選擇與配置，涵蓋了使用 Cobalt Strike 以及 Meterpreter 等商業及開源工具。此外，還將介紹如何利用 Injection 等手法及 API 增加操作的隱蔽性，並探討 Mimikatz、BloodHound、impacket 等工具在實戰中的應用注意事項。

針對現代防毒和端點保護的挑戰，演講也將探討 AMSI、ETW 等技術與繞過，幫助紅隊成員在執行任務時避開安全檢查，不觸發警報。透過這場演講，參與者將能夠學習到如何在各種安全環境下保持紅隊活動的隱蔽性，同時提升紅隊演練的效果和精準度。

自主 AI 代理系統透過獨立決策與風險緩解，革新了資安防禦，無需人工介入。這些系統運用先進演算法與持續學習，優先處理並消除暴險的漏洞，同時確保資安策略與企業目標保持一致。AI 代理能夠自動執行任務，從數位資產中移除潛在風險，進而解放人類分析師，使其專注於更高層次的資安戰略。

每個企業資安主管最大的課題，不是抵禦攻擊、不是修補漏洞，而是訓練團隊。我相信每個團隊都疲於奔命各種資安事件、各式更新修補，但如果只是不斷追趕，不如從根本主動訓練資安能力。我認為訓練最好的方式就是作戰，以戰代訓，這也是紅隊演練的根本。這場議程將講述怎麼有效的利用作戰的方式，從傳統的教育訓練、Cyber Range、VA、PT、到現今的紅隊演練甚至資安事件，有效訓練資安團隊。從團隊能力的鑑定、養成，到資安治理及管理的對應。同時也幫助資安長有效運用紅隊演練的成果訓練團隊。