道中ご無事に
ベストプライス、ベストホリデー
道中ご無事に
ベストプライス、ベストホリデー
為了更深入了解 CrazyHunter 駭客組織所使用的攻擊技術,本專題採用實作與測試的方式,
重現其部分攻擊流程,並分析每一階段所涉及的工具與行為。
本章將說明如何選擇模擬工具、建構實驗環境,以及在測試過程中觀察到的重點結果。
研究方法
攻擊流程模擬步驟
整個模擬流程依據勒索攻擊的實際流程設計,主要分為五個階段進行:
-
初始滲透:使用 Godzilla WebShell 成功上傳後門程式,取得受害主機控制權。
-
通道建立:透過 reGeorg 建立 socks 代理通道,使攻擊端能進一步存取內部資源。
-
權限提升與橫向移動:使用 SharpGPOAbuse 修改 GPO,將攻擊者帳號提升至域管理員等級。
-
關閉資安防護:利用 ZammoCide + zam64.sys 實現 BYOVD 攻擊,終止 EDR 系統運作。
-
勒索軟體部署與加密:最後模擬執行使用 Prince 工具所產生的勒索程式,觀察檔案加密與勒索訊息顯示狀況。
本研究使用虛擬機器來模擬實際攻擊場景,建立一個基本的企業內網架構,包含攻擊端與目標端:
攻擊端:Kali Linux 作業系統,安裝 reGeorg、ZammoCide、SharpGPOAbuse 等工具。
目標端:Windows Server 2022,模擬企業伺服器,
部署 IIS 網站與 AD 服務。
內網架構:建立 AD 網域、使用 GPO 管理權限,模擬企業實際的使用環境。
實驗環境建構
工具選擇
在工具選擇上,先使用 GitHub 上公開、文檔完整、模擬性高的資安工具,並確保其在實驗環境中能穩定運作。每一個工具的選擇皆考量以下幾點:
-
是否與 CrazyHunter 攻擊中所使用的工具相符或具替代性
-
是否容易部署於虛擬環境中
-
是否具備觀察與紀錄攻擊過程的能力