近年來，資安威脅日益嚴重，勒索軟體攻擊成為全球關注的重大議題。駭客集團透過加密受害者資料、勒索贖金的方式牟利，對企業、政府機構與醫療系統造成深遠衝擊。隨著攻擊手法日趨多樣化且工具取得日益容易，資安事件的防範與溯源變得更加困難，顯示資安防護在當前數位時代的重要性不容忽視。

​

本專題聚焦於2025年初對台灣造成重大資安衝擊的勒索軟體攻擊事件，主謀為駭客組織「CrazyHunter」。

該組織自2月起接連對馬偕紀念醫院、彰化基督教醫院及多家上市櫃企業發動勒索攻擊，引起社會各界高度關注。根據刑事警察局與趨勢科技等單位公開資料顯示，該組織大量濫用開源工具進行網路入侵，其行動規模與技術複雜度均屬高階，突顯開源資安生態系的潛在風險。

​

本報告以 CrazyHunter 勒索攻擊事件為背景，挑選其中與 Windows 與 AD 環境較相關的技術做為實作重點，包含 WebShell 初始入侵、內網通道建立、AD CS 濫用，以及最後的勒索加密模擬。實作部分主要使用 GitHub 上的工具，例如 Godzilla 管理 IIS WebShell、reGeorg 建立 socks 反向通道、Impacket 套件中的 ntlmrelayx 進行 NTLM 中繼、搭配 PetitPotam 觸發網域控制站對攻擊端進行驗證，並結合 AD CS 中易被濫用的 ESC8 憑證範本取得高權限憑證。最後，則在虛擬環境中使用 Prince-Ransomware 對測試檔案進行加密，觀察勒索攻擊在 Impact 階段對檔案可用性的實際影響。

​

透過本次專題實作與技術研究，期望能深入揭露當前勒索攻擊的核心機制，並提供資安防禦端相對應的參考依據。雖然本研究仍存在模擬環境與實際攻擊場景之間的落差，但整體流程已成功重現部分關鍵手法，具有實務參考價值。