​這份專題主要是想在一個安全的實驗環境裡，跑完一條跟勒索攻擊有關的攻擊流程。整個過程是從零開始建一個小型網域：在 Windows Server 2022 上架 AD、DNS、再加上 AD Certificate Services（AD CS），把 Certification Authority 跟 Web Enrollment 功能裝好，處理 IIS 各種錯誤，最後讓 http://<目標IP>/certsrv/ 可以正常使用。接著，我在 IIS 上放 WebShell，用 Godzilla 確認可以連進去，之後再用 reGeorg 打 socks 反向通道，讓 Kali 可以像在內網裡一樣去掃其他主機。中間再加上 ntlmrelayx、PetitPotam、Certipy 這些工具，去實驗 AD CS 在設定不當時會出現的風險，最後用 Prince-Ransomware 在虛擬機裡模擬檔案被加密、留下勒索信的畫面，當作這條攻擊鏈的收尾。從結果來看，這次至少有把「一條能走得通的攻擊路徑」拼出來。原本我對 AD、AD CS 和 IIS 其實不太熟，很多東西都是遇到錯誤才去查，例如 HTTP 403.14、500.19、Application Pool 問題、ASP 功能沒勾之類的。一路修修補補之後，現在比較知道這些角色大概扮演什麼角色，要去哪裡看 log，要怎麼用 Event Viewer 和 PowerShell 查設定。工具的部分，像 Godzilla、reGeorg、ntlmrelayx、PetitPotam、Certipy、Prince-Ransomware，本來只是看名字覺得很兇，做完一輪之後，至少知道它們在攻擊鏈裡各自負責哪一段。對我來說，最有感的是 Prince 那段，真的看到檔案全部變亂碼、資料夾裡多一堆勒索說明檔，比單純看文章或新聞印象深很多。當然，整份專題也有不少不足的地方。最大問題是環境穩定度不夠，只要哪個角色安裝順序不對、某個功能少勾，整個 certsrv 就可能壞掉，只好重來。攻擊流程有些步驟也還是偏手動，有做出來，但還談不上「一鍵重現」或完全自動化。另外，這次的重點幾乎都放在「攻擊怎麼做」，防禦端只是在心裡有感覺，實際上還沒有時間把 log、EDR 或 SIEM 這一塊好好接起來，看這些行為在日誌裡會長什麼樣子。如果之後還有機會延伸這個題目，我覺得可以從兩個方向補強：一個是把實驗流程跟環境管理整理好，養成每做完一個階段就拍 VM 快照、寫簡單操作紀錄的習慣，避免一直在重灌和回憶「上次是怎麼弄的」；另一個是多加一些藍隊角度的內容，例如分析攻擊各階段在事件記錄裡留下了哪些痕跡，試著寫幾條簡單的偵測規則，讓這條攻擊鏈不只是「跑給自己看」，也能變成之後做防禦練習的素材。