Skip to content

透過 Sysmon 偵測 Notepad++ CVE-2025-49144 漏洞

雖然文字編輯器鮮少被視為高風險資產,但 CVE-2025-49144 揭示了 Notepad++ 安裝程式中一條危險的本地特權提升 (LPE) 路徑。透過濫用不安全的執行檔搜尋行為,低權限使用者即可取得 SYSTEM 層級的執行權限.

漏洞機制: 安裝程式 (v8.8.1 及更早版本) 調用 regsvr32.exe 來註冊 NppShell.dll 時未指定硬編碼路徑。攻擊者只需將惡意的 regsvr32.exe 放置在安裝程式目錄下即可實施劫持。

步驟 1:識別受威脅的端點

使用 Sysmon 程序建立事件 (Event ID 1) 來定位執行舊版 Notepad++ 的主機。搜尋檔案版本元數據與已修復版本 (8.8.2) 不符的端點。

process_name:notepad\+\+.exe AND NOT file_version:8.8.2

步驟 2:高保真度威脅狩獵查詢

為了偵測實際的攻擊行為,我們尋找以 SYSTEM 權限執行、且路徑標準 Windows 系統資料夾的 regsvr32.exe,特別是當其與 Notepad++ 殼層組件交互時。

GRAYLOG / SIEM 查詢語句
(((process_command_line: /.*[\\]contextMenu[\\]NppShell\.dll.*/)
AND (process_path: /.*[\\]regsvr32\.exe/)
AND (process_command_line: /regsvr32 \/s.*/))
AND NOT (process_path: (/C:[\\]Windows[\\]System32[\\]regsvr32\.exe/ 
OR /C:[\\]Windows[\\]SysWOW64[\\]regsvr32\.exe/)))

步驟 3:部署 Sigma 偵測規則

為了實現自動化偵測,請部署以下 Sigma 規則,以標記 Windows 環境中可疑的註冊嘗試。

title: Potential Notepad++ CVE-2025-49144 Exploitation
status: experimental
description: 偵測 Notepad++ 安裝程式在未指定完整路徑的情況下調用 regsvr32.exe 的行為。
logsource:
    product: windows
    category: process_creation
detection:
    selection:
        Image|endswith: '\regsvr32.exe'
        CommandLine|startswith: 'regsvr32 /s'
        CommandLine|contains: '\contextMenu\NppShell.dll'
    filter_legit:
        Image:
            - 'C:\Windows\System32\regsvr32.exe'
            - 'C:\Windows\SysWOW64\regsvr32.exe'
    condition: selection and not filter_legit
level: high

最後總結

CVE-2025-49144 提醒我們,特權提升往往隱藏在日常的管理工作流程中。透過監控發生在 System32 之外的 SYSTEM 執行行為,資安團隊能在攻擊者建立持久性存取之前將其瓦解。

關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。

關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

機器學習異常檢測 | 資安指南

機器學習異常檢測:提升企業資安防禦

在現代 IT 環境中,每日攝取的數據量高達數 TB,安全分析師無法手動找出「威利」。利用機器學習 (ML) 進行異常檢測,可以自動化識別那些預示著潛在威脅的細微偏差。

核心優勢: 與靜態規則不同,機器學習驅動的異常檢測會建立動態的「正常」行為基準,讓團隊能發現那些缺乏已知特徵碼的 零日時 (Zero-Day) 威脅與 內部風險.

資安異常的三種類型

點異常 (Point Anomalies)

單一數據實例與常態顯著不同,例如來自異常 IP 位址的一次登入企圖。

情境異常 (Contextual Anomalies)

在特定情境下顯得可疑的活動,例如普通使用者在非辦公時間存取大量數據。

集體異常 (Collective Anomalies)

一組相關聯的事件,串聯起來時顯示出攻擊跡象,常見於橫向移動或資料外洩。

關鍵資安應用場景

  • 網路入侵偵測: 為協議與數據量建立基準,以標記流量激增或異常通訊。
  • 惡意軟體偵測: 識別系統行為轉變,如異常的登錄檔修改或文件存取模式。
  • 內部威脅: 呈現一段時間內使用者活動概況的偏差,以偵測潛在的誤用或憑證遭竊。

透過 Graylog Security 提升可見性

Graylog Security 利用機器學習驅動的異常檢測,將常規日誌數據轉化為預警信號。透過將行為基準與即時評分及富化元數據相結合,Graylog 讓團隊能專注於高置信度的洞察,而非盲目追逐雜訊。

關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。

關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

Kubernetes 記錄 (Logging) 最佳實踐 | 營運卓越指南

Kubernetes 記錄 (Logging) 為叢集內的持續活動提供了至關重要的可視性。雖然 Kubernetes 的動態特性是其最大優勢,但同時也帶來了觀測上的挑戰。有效的記錄機制讓團隊能夠維護應用程式健康、降低資安風險,並排除生產環境中的複雜問題。

Kubernetes 中的記錄運作機制

Kubernetes 將容器記錄視為標準輸出 (stdout) 與標準錯誤 (stderr) 串流。當容器寫入訊息時,容器運行時 (runtime) 會擷取這些訊息,並由 Kubernetes 透過 API 公開。

各節點上的 kubelet 代理程式負責管理這些記錄,並在 API 伺服器請求時發送回傳。然而,這種本地存儲方式存在限制:當 Pod 被刪除或崩潰時記錄會遺失,且在多節點叢集中進行匯總分析相當困難。

叢集中的關鍵記錄類型

應用程式記錄

由容器內應用程式產生,提供行為、錯誤、效能指標及業務邏輯的洞察。

叢集組件記錄

來自 API 伺服器、排程器 (Scheduler) 與 etcd 的數據,用於診斷叢集健康狀況。

稽核記錄 (Audit Logs)

提供與資安相關的紀錄,解答是「誰」在「何時」對叢集執行了什麼動作。

事件 (Events)

記錄 Pod 與節點的生命週期變化,包括排程決策、容器重啟或警告訊息。

主要記錄架構

  • 節點級代理 (Node-Level Agent): 最常見的方法。在每個節點部署代理程式(如 Fluentd)作為 DaemonSet,收集記錄並轉發至中央後端。
  • 邊車容器 (Sidecar Container): 在 Pod 內運行專門的記錄容器,用於讀取應用程式產生的記錄檔案並進行轉發。
  • 直接從應用程式記錄: 應用程式直接將數據發送至中央後端,跳過標準的 Kubernetes 記錄機制。

雲端原生環境的最佳實踐

  • 建立集中化記錄系統: 整合來自所有應用程式與組件的記錄,以便在單一平台上進行監控與調查。
  • 實施結構化記錄: 使用機器可讀的格式(如 JSON),提高搜尋效能並降低存儲成本。
  • 管理保留與輪轉政策: 定義明確的留存政策以管理存儲成本,並配置輪轉機制防止節點硬碟空間耗盡。
  • 強化存取控制與安全: 透過角色存取控制 (RBAC) 限制使用者僅能查看其負責服務的記錄,並遮罩敏感資訊。
  • 環境隔離: 分開開發與生產環境的記錄系統,防止高流量的測試記錄干擾生產環境的可視性。

結論:使用 Graylog 實踐

Graylog 提供了一個可擴展且靈活的平台,協助組織更有效地集中管理 Kubernetes 記錄。透過 Graylog,您可以輕鬆設定索引輪轉、自動存檔並優化存儲路徑,在降低管理成本的同時確保合規性。

來源:Kubernetes 記錄最佳實踐概覽。

關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。

關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

Graylog Helm Chart Beta V.1.0.0 發佈公告

過去在 Kubernetes 上執行 Graylog 通常是一項繁瑣的「DIY」工程,涉及大量自定義 Manifest 檔案與手動排除故障 。今天,我們推出了首個 Graylog Helm Chart,為您提供更簡潔、可重複的方式來部署與管理日誌管理基礎架構 。

版本狀態:Beta 測試版
本版本已具備完整功能並可供使用,但 API 與設定值(Values)可能會根據社群回饋進行調整 。
 

為什麼要使用 Helm Chart?

Helm 已成為管理 Kubernetes 應用程式的業界標準 。我們的新 Chart 透過以下方式降低操作摩擦:

  • 標準化工作流: 告別耗時的專案開發,改用熟悉的 Helm 生命週期指令進行管理 。
  • 設定透明化: 提供合理的預設值,同時保留對關鍵參數的完整控制權 。
  • 環境一致性: 確保在開發、測試及生產環境中都能實現完全相同的部署 。

此版本包含的內容

核心組件
部署 Graylog 應用程式與 Graylog Data Node 以實現可靠的日誌存儲 。
資料庫整合
包含 MongoDB Operator Chart,用於管理後端元數據需求 。
K8s 原生配置
完全透過 Values 檔案管理,支援 GitOps 與 CI/CD 覆寫 。
彈性擴展
內建支援在部署中根據需求向上或向下擴展節點 。
 

目標受眾

此 Beta 版本特別適合具備以下特質的 開發者與 DevOps 工程師

  • 在測試或開發環境中執行 Kubernetes 。
  • 相較於手寫 Manifest,更偏好 Helm 的結構化管理方式 。
  • 願意提供回饋或在 GitHub 上提交 Issue 以優化產品 。

 

準備好開始部署了嗎?

請前往官方的 Graylog GitHub 儲存庫 查看說明文件並試用 Helm Chart 。

造訪 Graylog GitHub 儲存庫 →

關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。

關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

利用 SIEM 自動化實現主動偵測與事件響應

現代資安專業人員經常陷入「打地鼠」般的被動循環中。隨著警報量不斷增加,企業需要自動化解決方案來減輕警報疲勞並強化資安態勢。SIEM 自動化提供了一種將海量數據轉化為可操作情資的方法。

根據 2025 年《資料外洩成本報告》,廣泛使用 AI 和自動化的組織平均每起外洩事件可節省 190 萬美元,並縮短 80 天的外洩生命週期。

什麼是 SIEM 自動化?

SIEM 自動化整合了機器學習 (ML)、人工智慧 (AI) 與預定義的劇本 (Playbooks),以減少人工介入。透過關聯來自整個環境的海量遙測數據,它能為警報增加上下文背景,並自動化執行從偵測到解決的流程。

自動化 SIEM 的核心優勢

  • 強化威脅偵測: 先進算法能識別手動流程可能遺漏的行為基準偏離模式。
  • 自動化合規管理: 內建規則與報表簡化了因應監管稽核的日誌收集,證明資安控制措施有效運行。
  • 縮短響應時間: 針對常見事件自動執行響應活動,顯著改善平均響應時間 (MTTR)。
  • 成本效率: 透過分級自動化與風險評分,讓團隊更高效地運作,無需增加額外人力即可應對更多事件。

克服實施挑戰

實施 SIEM 自動化並非一蹴而就,組織通常會面臨以下挑戰:

  • 工具碎片化: 資安堆疊中的各種工具各自產生不同格式的警報與日誌,難以統一整合。
  • 整合複雜性: 舊有系統可能缺乏 API,導致難以建立流暢的自動化工作流。
  • 儲存成本: 海量遙測數據的儲存成本極高,迫使團隊在合規與數據保留之間做出艱難抉擇。

挑選解決方案的關鍵考量

先進 AI 與機器學習能力

應尋求具備使用者與實體行為分析 (UEBA) 的方案以偵測內部威脅,並具備生成式 AI 功能來總結事件細節,加速調查流程。

無縫整合與擴展性

解決方案必須提供針對 IAM、EDR 和防火牆的內建連接器,並具備可隨組織成長而擴展的架構,支援數據分層儲存(熱數據與封存數據)。

Graylog Security:不妥協的自動化

Graylog Security 透過高保真警報協助組織減少誤報。我們的平台追蹤偵測鏈並實施自動化風險評分,協助您的 SOC 團隊精準響應,徹底消除警報疲勞。

關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。

關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

×

Hello!

Click one of our contacts below to chat on WhatsApp

Social Chat is free, download and try it now here!

×