技術與研究

勒索軟體是本次研究中最核心的攻擊手法之一，也是 CrazyHunter 駭客組織發動攻擊的重要工具。近年來，勒索攻擊快速上升，駭客不只會加密資料，還會威脅公開敏感資訊，形成所謂的雙重勒索。這類攻擊常結合現成工具與模組化架構，使攻擊流程更快速、更難防禦。

​

本研究相關技術

勒索軟體是本次研究中最核心的攻擊技術之一，也是 CrazyHunter 對外勒索的主要手段。近年來，勒索軟體攻擊事件不斷上升，除了加密資料之外，駭客也會以公開資料威脅，形成雙重勒索的趨勢。

這些攻擊行為多半仰賴現成的工具與模組化的架構，使得勒索程式的製作與散布變得相對容易。在本小節中，我們會進一步說明勒索軟體的基本運作原理與實際案例，並探討 CrazyHunter 在攻擊中所使用的加密技術與工具。

​

​

勒索軟體運作方式與案例

勒索軟體（Ransomware）是一種會加密使用者電腦中檔案，然後要求支付贖金才能解鎖的惡意程式。這類攻擊方式這幾年非常常見，對一般使用者來說可能導致資料遺失，對企業或醫療機構來說甚至會造成營運中斷，後果相當嚴重。

一般勒索軟體的運作流程大致可以分成幾個步驟：

​

1.  入侵系統：駭客會透過釣魚信、漏洞、WebShell 等方式滲透目標系統。  

2. 橫向移動與權限擴張：進入系統後，會想辦法取得更高的權限或進一步控制其他裝置。

3. 加密檔案：使用強加密演算法將系統內的重要檔案進行加密。

4. 提出贖金要求：在畫面中顯示勒索訊息，要求受害者支付虛擬貨幣才能恢復資料。   

有些駭客組織甚至發展出所謂「勒索軟體即服務」（Ransomware-as-a-Service, RaaS）的模式，讓沒有太多技術能力的人也可以租用工具來進行攻擊。

​

​

在本專題中，我們觀察到 CrazyHunter 駭客組織使用一款名為 Prince 的勒索軟體生成工具。這個工具可以快速建立客製化的勒索程式，駭客只需要設定一些參數，就可以產出完整的加密工具。這些工具具有下列特性：

• 使用 Go 語言開發，可在多種作業系統上執行。

• 自動尋找並加密常見副檔名的檔案。

• 將檔案副檔名改為 .Hunter，讓使用者明顯看出資料已遭加密。

• 修改桌布並顯示勒索訊息，要求支付贖金。

這種模組化的設計讓攻擊者能夠快速部署攻擊，也讓勒索軟體變種的出現速度越來越快。

​

​

加密方式介紹（ChaCha20 與 ECIES）

Cr yHunter 所使用的勒索程式主要結合兩種加密方式：

• ChaCha20：對稱加密演算法，速度快且安全性高，適合大量資料加密。

• ECIES：非對稱加密技術，常用於加密金鑰，只有駭客持有私鑰能解密。

這兩種技術會一起使用，先用 ECIES 加密對稱金鑰，再用 ChaCha20 加密實際資料，達成「混合加密」效果。這樣的設計讓受害者即使擁有程式也無法解密檔案，增加攻擊成功的機率。

​

​

開源滲透工具與攻擊流程

在勒索攻擊發動之前，攻擊者必須先進入目標系統並取得足夠的控制權限。本次專題模擬的攻擊流程中，CrazyHunter 所使用的多種開源工具，正是達成滲透與橫向移動的關鍵。這些工具大多能在 GitHub 等平台免費取得，因此也容易被濫用於真實攻擊中。

​

以下介紹本研究中所使用的主要開源滲透工具，並說明它們在整個攻擊鏈中的作用與特性。

​

​

WebShell 控制：Godzilla

Godzilla 是一款中文社群開發的 WebShell 管理工具，支援多種語言（如 ASPX、PHP、JSP），常用於滲透初期建立後門連線。攻擊者將後門檔案上傳到目標伺服器後，便可透過 Godzilla 的介面遠端執行指令、上傳惡意程式或繞過防毒掃描。

在本研究的模擬實作中，我們使用 Godzilla 成功連入受控主機，並驗證其對 Windows Server 的穩定操作性。這也顯示，攻擊者即便不熟寫程式，也能透過圖形介面進行完整的入侵行動。

​​​

​

 建立反向通道：reGeorg

reGeorg 是一款用於建立反向代理的工具，能讓攻擊者透過 WebShell 穿透企業內網的隔離。reGeorg 的運作方式是在受害主機與駭客端之間建立 socks 通道，使攻擊者能像直接在內部網路中操作一般，掃描其他主機或建立 RDP 連線。

本專題透過 reGeorg 成功架設反向通道，並進行後續的權限提升與資料擷取操作。這類工具讓駭客可持續控制內部網路，進一步展開擴張攻擊。

​

​

NTLM 中繼與憑證濫用：ntlmrelayx 與 AD CS

 ntlmrelayx 是 Impacket 套件中的一個工具，用來進行 NTLM Relay 攻擊，也就是把別人送出的 NTLM 驗證「轉接」到攻擊者指定的服務上。本專題利用 ntlmrelayx 收到來自網域控制站的 NTLM 驗證，再把這個身分轉送到 AD CS 的憑證服務，搭配事先錯誤設定的 ESC8 憑證範本，成功申請到高權限帳號的憑證。這種作法的危險在於，攻擊者不需要知道密碼，只要能誘發一個合法主機來驗證，就可以藉由憑證直接取得網域管理員等級的控制權。