產品與服務

繞過 EDR 防禦的攻擊手法有哪些？企業該如何應對？(2)

2025.06.08Product Management

近年來，網路攻擊手法更顯複雜，有些甚至繞過傳統 EDR 的防禦機制。

例如攻擊手法 HookChain 並不會直接停用 API hook，而是操縱 API 流程，進而繞過 EDR 的監控功能；該技術具有極高的 EDR 檢測繞過率，經測試證實的成功率達 88% [1]。此外，還出現各類破壞 EDR 的惡意軟體 [2]，及濫用硬體斷點 [3] 、使用低權限用戶 [4] 等繞過 EDR 防禦的攻擊手法。

在本系列先前的文章已分析過攻擊者如何繞過 EDR，入侵企業系統；本篇文章將進一步說明企業與組織如何應對，特別是透過採用入侵評估（compromise assessment）工具。

該如何有效應對繞過 EDR 的攻擊？

要能有效防禦「繞過 EDR 偵測」的隱藏威脅，必須透過多面向的資安防禦解決方案互相支援補強。

1. 即時偵測異常行為的「EDR」

透過持續監控，實現即時檢測
廣泛收集作業系統事件和進程操作，進一步分析
利用規則和機器學習，自動偵測和預防可疑行為

2. 化被動為主動的「威脅狩獵」

在必要情況下，探索可能的潛在風險
主動挖掘已知與未知的可疑行為
分析師對日誌等進行詳細分析，以識別無法偵測到的威脅

3. 快速檢測資安狀況的「威脅快篩」

當資安事件發生，透過輕量化數位鑑識工具檢測
記憶體和關鍵文件狀態的樣本檢查
及早發現異常，並確定是否需要進行全面調查

因此，為補足現有 EDR 偵測與防禦守備範圍，情資導向的威脅鑑識平台成為不可或缺的解決方案。透過收集各種資料（例如日誌和記憶體資訊），並分析結果，轉化為情資導向的威脅狩獵，能夠有效找出繞過 EDR 偵測的潛伏、隱匿威脅，以強化資安態勢。

同時，威脅鑑識平台要能取得且分析正在運行中的系統記憶體資料，識別出傳統 EDR 容易忽略的入侵痕跡。從惡意軟體入侵到執行的過程來看，當 CPU 正執行部署於記憶體中的惡意軟體運作時，EDR 可以即時偵測並控制可疑行為。然而若能透過定期記憶體掃描鑑識，獵捕威脅，更可及早防止惡意程式碼被提取到記憶體，先一步防堵惡意軟體執行。

TeamT5 的情資導向「ThreatSonar 威脅鑑識分析平台」具備記憶體掃描鑑識特色。ThreatSonar 能依最新的威脅情資，快速偵測 APT 攻擊和網路間諜活動，提高安全防護效能。同時 ThreatSonar 能快速、充分獲取磁碟與記憶體的關鍵資料，對過去、現在的行為進行全面分析，辨識未來可能成為威脅的指標，快速檢查是否有任何可疑行為，讓資安團隊能有效處理事件。此外，ThreatSonar 無需繁瑣的安裝過程，且具有輕量部署的優勢，無論在 Windows、Linux 或 Mac OS 平台上均可運行，確保可在大規模環境快速部署使用。

ThreatSonar 的實務應用

許多企業注重 APT 攻擊和未知威脅的防禦，除了安裝 EDR 做及時威脅偵測外，也同時定期進行入侵評估。從之前分析繞過 EDR 攻擊方式的案例中可知，企業雖安裝了 EDR 與防毒軟體，但攻擊者卻能停用 EDR 監控，致使資料被竊取長達一年的時間而未被發現。有鑑於此，企業利用 ThreatSonar 威脅鑑識分析平台挖掘潛藏威脅，計畫於兩週內，對 10,000 個端點裝置進行威脅檢測，以利快速辨識可能受駭途徑及影響範圍。該公司採取以下檢測方式：