https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

觀點

中芯數據揭CrazyHunter關鍵戰術

2025 / 04 / 17
編輯部
中芯數據揭CrazyHunter關鍵戰術
中芯數據資安研究團隊發布最新報告,揭露近期猖獗的中國駭客團體CrazyHunter如何在短短兩個月內成功攻擊多家台灣企業及組織,並針對其繞過EDR防護的技術提出專業分析。

據中芯數據安全研究總監表示,CrazyHunter平均每一至兩週就在其官網更新受害名單,該組織更直接宣稱可100%繞過多家國際知名大廠EDR的偵測與保護,使台灣企業IT人員面臨前所未有的壓力。

中芯數據的研究團隊透過分析近期成功阻擋的攻擊案例,確認了CrazyHunter的幾項關鍵作業手法。首先,該組織會對常見的網路滲透工具如impacket進行客製化修改,針對Windows大小寫特性進行混淆並修改特徵碼,有效規避多數資安產品的偵測機制。

另一項CrazyHunter的標準作業手法是使用Bring Your Own Vulnerable Driver (BYOVD)攻擊,透過載入有弱點的驅動程式來嘗試停止端點上的資安設備。研究人員進一步分析發現,這些惡意程式主要使用Golang語言開發,並專門設計用來停止各種資安軟體。

「除了將趨勢、微軟的防毒產品程序列入停止清單,其他諸如Avira小紅傘等防毒軟體也被納入目標,」報告中指出,「更令人擔憂的是,攻擊者會將在攻擊目標中發現的特定資安軟體額外加入清單後,重新編譯客製化的惡意程式。」

中芯數據團隊在實際案例中發現,攻擊者不僅使用了zam64.sys這個因馬偕醫院事件而被多數資安廠商列入黑名單的驅動程式,還使用了多個其他嘗試停止資安軟體的驅動程式。這些驅動程式在VirusTotal上大多被超過半數防毒軟體識別為惡意程式。特別值得注意的是,viragt64.sys (SHA1: 05c0c49e8bcf11b883d41441ce87a2ee7a3aba1d) 在VirusTotal上的檢測率相對較低,若未及時阻擋,企業資安軟體極可能被成功停止。

「CrazyHunter大量使用寄生手法,將中繼站連線隱藏於合法網域內,有效繞過資安設備的檢查,」報告中進一步指出。

針對市場上普遍質疑EDR已不再有效的聲音,中芯數據明確表示,EDR「看似」無效的主要原因在於攻擊者運用大量最新紅隊研究和免殺技術,使其在被發現時已接近造成實際損害的階段,極大程度壓縮了資安人員的反應和處理時間。

中芯數據建議企業應採取三方面防護措施:強化偵測能力、確保EDR穩固性,以及完善資安管理。特別是在資安管理方面,企業應定期進行安全性更新、建立良好的安全系統發展生命週期,並嚴格執行資安規範與高權限帳號管理。

報告最後指出,傳統的縱深防禦架構已無法完美抵禦今日的攻擊者,資安人員需從單純購買設備轉向深入研究攻擊階段,掌握最新技術與手法。「與攻擊者的軍備競賽已然開打,唯有與時俱進,方能有效阻擋CrazyHunter等勒索團體的威脅,」報告總結道。

中芯數據表示將持續監控CrazyHunter的活動,並提供最新的防護建議給台灣企業與組織。