複選題
28. 【題組 2】駭客勒索集團針對各類系統漏洞進行攻擊，掌握全球駭客勒索集團相關技術資訊，取得駭客集團第一手攻擊手法，或是暗網的技 術資料，並進行防護有效性驗證與分析，是身為專業資安人員應具備 的基本能力。某駭客集團善用合法白名單工具，來躲避相關資安防護 機制的分析與阻斷，關於白名單工具分析與敘述，下列哪些正確？（複 選）
(A) Cobalt Strike 原是對手模擬和紅隊行動是安全評估工具，可複製 網絡中高級對手的戰術和技術，被勒索集團（Conti, Hello 等） 轉換成攻擊威脅橫向移動工具
(B) Mimikatz 原是進行遠端指令執行使用的好工具，卻被勒索集團 （Doppelpaymer, Revil 等）用在任意命令執行與橫向移動
(C) ADFind 應用在 AD 搜尋的實用工具，被勒索集團（ProLock, Revil 等）利用在橫向移動
(D) MegaSync 原是雲端儲存空間，被勒索集團（RansomEXX, LockBit 等）利用公開不付贖金外洩資料的載點

A) Cobalt Strike: 這個陳述是正確的。Cobalt Strike 最初是設計用於紅隊操作和對抗模擬的合法滲透測試工具。然而，由於其強大的功能，它確實被多個勒索軟件組織（包括 Conti 和 HelloKitty）用作攻擊工具，特別是用於橫向移動和後滲透活動。

B) Mimikatz: 這個陳述部分正確，但有一些錯誤。Mimikatz 原本是一個用於展示 Windows 安全漏洞的工具，主要用於提取明文密碼、哈希值、PIN 碼和 Kerberos 票據。它確實被多個勒索軟件組織（包括 DoppelPaymer 和 REvil）用於憑證收集和權限提升，而不是主要用於"遠端指令執行"。

C) ADFind: 這個陳述是正確的。ADFind 是一個合法的 Active Directory 查詢工具，但它確實被多個勒索軟件組織（包括 ProLock 和 REvil）用於在受感染的網絡中進行偵察和橫向移動。

D) MegaSync: 這個陳述是正確的。MegaSync 是一個合法的雲存儲服務，但多個勒索軟件組織（包括 RansomEXX 和 LockBit）確實利用它作為泄露被盜數據的平台，特別是當受害者拒絕支付贖金時。