隨著企業對網路安全的需求日益增長，EDR（Endpoint Detection and Response）已成為防禦威脅的核心工具。然而，攻擊者的技術不斷演進，藍隊與紅隊之間的對抗也變得更加激烈。在這場攻防拉鋸戰中，每當我們強化偵測能力，攻擊者便會尋找新的規避手段，使這場對抗不斷升級。

本次議程將剖析近年來 EDR 偵測技術的發展，並探討攻擊者如何運用混淆技術來隱藏惡意行為、如何濫用 WSL（Windows Subsystem for Linux） 來躲避傳統安全產品的監控，以及 EDRSilencer 利用 WFP（Windows Filtering Platform） 來影響 EDR 的運作機制。我們將透過實際案例，分析這些攻擊手法對 EDR 偵測帶來的挑戰，並探討藍隊如何設計防禦策略並化主動為被動，讓 EDR 在不斷變化的攻防環境中始終保持優勢。

從 2018 年 Lojax 首次利用 UEFI Bootkit 進行攻擊以來，MosaicRegressor、Trickbot、FinSpy、Especter、MoonBounce、CosmicStrand，以及 2022 年被放到暗網販賣，2023 年開源的 BlackLotus 等惡意程式接連出現，凸顯了這項技術在資安領域的潛在威脅。

本次分享將整理 Bootkit 的相關資料，從基礎的 UEFI 背景知識開始，聚焦於攻擊者如何繞過 Secure Boot，成功執行惡意 EFI 程式，達成持久化控制（Persistence）。與 BYOVD（Bring Your Own Vulnerable Driver）攻擊相比，Bootkit 從啟動階段就介入執行，影響作業系統各功能的初始化過程。另外 Bootkit 可以修改 SPI Flash，即使在作業系統重灌後仍能持續運作。

此外，議程將剖析攻擊過程中的技術細節，包括如何繞過安全機制以及在 Boot Loader 階段執行的手法，同時探討可能的偵測與防禦方式。雖然此類攻擊發生在啟動階段讓防毒軟體難以介入，但透過攻擊的準備過程與利用後的行為模式，仍能找到有效的偵測線索。希望藉由本次分享，讓更多人認識 Bootkit 的威脅。