實作展示 | Memi 3

初步系統展

為了模擬 CrazyHunter 駭客組織實際使用的攻擊流程，本研究建構了一套虛擬化的測試平台，並結合多個開源工具，重現駭客從入侵到勒索的完整過程。本章將以操作流程為主，說明模擬系統的使用方式，並搭配畫面截圖進行展示。

WebShell 控制：Godzilla

(1)安裝好IIS

(2) 部屬WebSell(Godzilla)

在目標 Windows Server（IIS 10）上部署 Godzilla 所產生的 C# 動態 WebShell a.ashx，並將其放置於 C:\inetpub\wwwroot，對應的 URL 為 http://192.168.0.200/a.ashx。

(3)在攻擊端 Kali 上啟動 Godzilla，用與 WebShell 一致的設定（Password：pass、Key：key、Payload：CShapDynamicPayload、Encrypter：CSHAP_AES_BASE64）建立連線。成功連線後，Godzilla 介面顯示目標主機的環境變數與系統資訊，確認攻擊者已取得以 IIS 應用程式集區帳號執行命令的能力。

2.通道建立：reGeorg 架設反向通道

(4) 在kali上執行reGorgSocksProxy 建立好雙向通道的隧道

這代表目前整條路徑都已經打通：

Kali (127.0.0.1:1080 SOCKS) →
reGeorg Python 腳本 →

HTTP 請求送到 http://192.168.0.200/tunnel.aspx →

由 tunnel.aspx 在 Web Server 內部幫我建立 TCP 連線。

之後只要把其他工具（例如 nmap、curl）設定成走 127.0.0.1:1080 的 SOCKS 代理，它們就會自動透過這條隧道往內網打。

(5) 找到有開445的目標主機proxychains4 nmap -Pn -p 445,3389 192.168.0.0/24

從 Kali → reGeorg tunnel → 內網掃整段 192.168.0.0/24，找 SMB (445) 和 RDP (3389)。

(6) 然後回到Windows Server（192.168.0.200），把 445 封包轉過去，然後回 Kali 上掃一次確認是否成功，確定192.168.0.200:8445 現在已經成功轉發到 192.168.0.106:445，代表 reGeorg + Portproxy 的封包通道已經建立成功

3.NTLM 中繼與憑證濫用：ntlmrelayx + AD CS

(7) 設定Active Directory Certificate Services(ADCS)環境，確定AD CS Web Enrollment有啟用和有連線到。

(8)

在kali上面啟動成功啟動ntlmrelayx.py

在 Kali 上啟動 ntlmrelayx，將 SMB 伺服器綁定於 445 埠，並將 relay 目標指定為 DC 上的 AD CS Web 介面 http://192.168.0.200/certsrv/certfnsh.asp，同時設定使用自建的 ESC8-New 憑證範本。此時 ntlmrelayx 會處於「等待連線」狀態，只要有任何 NTLM 驗證流量經過，便會自動轉送給 AD CS。

(9) 讓PetitPotam 攻擊已經成功觸發透過 PetitPotam 腳本對 DC 發送 EFSRPC 請求（透過 \PIPE\lsarpc 管道）。腳本會要求 DC 存取一個位於 Kali 的 SMB 路徑，迫使 DC 在連線過程中主動對攻擊者的 SMB 伺服器進行 NTLM 驗證。從輸出可以看到，雖然 EfsRpcOpenFileRaw 已被修補，但改用 EfsRpcEncryptFileSrv 仍能取得預期的 ERROR_BAD_NETPATH，表示路徑雖然不存在，但 NTLM 認證已成功送出，攻擊生效。

(10) 拿到管理員憑證

(SMB): Received connection from 192.168.0.199→ 假的 SMB 伺服器收到來自 192.168.0.199 的連線。•Authenticating connection from FAKE.LOCAL/ADMINISTRATOR@192.168.0.199 against http://192.168.0.200 SUCCEED→ 成功把「FAKE.LOCAL\Administrator」的 NTLM 資訊 relay 到 AD CS 的 web enroll 頁面。後面這幾行是最關鍵的：•Generating CSR...•Getting certificate...•GOT CERTIFICATE! ID 3•Writing PKCS12 certificate to ./ADMINISTRATOR.pfx•Certificate successfully written to file意思是：•ntlmrelayx 幫你用 Administrator 的身分，向 AD CS 申請了一張憑證（用 ESC8 脆弱 template）。•把這張憑證跟 private key 打包成一個 .pfx 檔，存在 Kali 這邊。•這個 ADMINISTRATOR.pfx 之後可以丟給 certipy 或 Rubeus，換成可以登入 DC 的 TGT / Kerberos 身分。

(11)用 hash 拿到 DC 的 PowerShell

SMBv3.0 dialect used→ 通道建立成功。• Launching semi-interactive shell→ impacket 幫你開了一個半互動式 shell。

(14)Prince-Ransomware 勒索攻擊模擬

(12)工具執行時會先顯示一個操作選單，例如「1. 建立測試檔案」、「2. 加密單一檔案」、「3. 加密整個資料夾」、「4. 更換勒索桌布」、「5. 完整攻擊模擬」等。我先選擇選項 1，讓程式自動在同一個資料夾建立多種常見類型的檔案，例如 test_document.txt、important_data.doc、project.pdf、photo.jpg 和 data.xlsx。這些檔案可以視為使用者桌面上的重要文件，用來觀察被加密後的變化。

(13)Prince-Ransomware 的設計是使用一組事先產生好的金鑰（實驗程式中以 keygen.go、PRIVATE_KEY_BACKUP.txt 等檔案來模擬金鑰管理），再搭配加密模組將目標檔案轉換成不可讀的內容。當我啟動完整攻擊流程後，原本的文件會被重新命名並加上自訂的副檔名（例如 test_document.txt.prince），打開時只會看到大量無法辨識的亂碼，代表檔案內容已被加密且無法直接還原。

(14)除了加密檔案之外，工具也會在資料夾中放置一份勒索說明檔 DECRYPT_INSTRUCTIONS.txt。打開後可以看到典型勒索信的格式，包含：宣告檔案已被加密、要求受害者以加密貨幣（例如 Bitcoin）付款、提供聯絡信箱與錢包地址、提醒不要自行嘗試解密，以及威脅「若在限定時間內未聯繫將刪除金鑰」等內容。最後也會在桌布上生成一個勒索的圖片。