說明

MDR EDR EPP XDR在國內近期相當的常聽到，但不是所有人都知道是什麼，以下是簡單的名詞解釋。

EDR：Endpoint Detection and Response

故名思意針對端點還的行為進行監控，並提供回應的功能，讓使用者可以遠端網網、取證、調查…等

一些攻擊手法

https://www.anquanke.com/post/id/239640

說明

反向代理 Reverse Proxy顧名思意，是相較Proxy的行為反向執行。代替Server將請求回傳給Client。

也就是說Client端所請求的對向不是真正的Server，而是Reverse Proxy。因此對Server來說可以達到隱藏真實IP的功能。

WSUS是windows提供更新管理的Server

影片說明

https://www.youtube.com/watch?v=Yv0qjxdX5yw

文章連結

• https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus
• https://blog.xuite.net/tolarku/blog/194558299-%E5%BB%BA%E7%AB%8B%E8%87%AA%E5%AE%B6%E7%9A%84+Windows+Update+Server+-+WSUS+

相關攻擊手法

https://www.gosecure.net/blog/2020/09/03/wsus-attacks-part-1-introducing-pywsus/

PsExec：執行遠端電腦上的指令
PsExec最主要的功能就是啟動遠端電腦上的命令式批次指令，或是Regedit等特定的系統工具程式。舉例來說，若我們欲在名稱為iThome的遠端電腦上，執行test.exe程式，則可鍵入「psexec \\iThome -u user -p passwd -c c:\test.exe」，其中user與passwd為系統管理員帳號及密碼，而這兩個也是PsTools的公用參數；至於-c則代表先將應用程式test.exe，複製到遠端電腦後再執行。值得注意的是，若使用者未指定欲執行的應用程式路徑，則會使用預設的原始目錄，亦即Windows根目錄（％SystemRoot％）。

這5個 Port 在工作上時不時會遇到，在一知半解的狀況下，常常會沒辦法判斷真時的發生狀況。因此參考網路上的介紹做一些整理，希望能這對這些Port有更多瞭解。