中芯數據揭CrazyHunter關鍵戰術

中芯數據資安研究團隊發布最新報告，揭露近期猖獗的中國駭客團體CrazyHunter如何在短短兩個月內成功攻擊多家台灣企業及組織，並針對其繞過EDR防護的技術提出專業分析。

據中芯數據安全研究總監表示，CrazyHunter平均每一至兩週就在其官網更新受害名單，該組織更直接宣稱可100%繞過多家國際知名大廠EDR的偵測與保護，使台灣企業IT人員面臨前所未有的壓力。

中芯數據的研究團隊透過分析近期成功阻擋的攻擊案例，確認了CrazyHunter的幾項關鍵作業手法。首先，該組織會對常見的網路滲透工具如impacket進行客製化修改，針對Windows大小寫特性進行混淆並修改特徵碼，有效規避多數資安產品的偵測機制。

另一項CrazyHunter的標準作業手法是使用Bring Your Own Vulnerable Driver (BYOVD)攻擊，透過載入有弱點的驅動程式來嘗試停止端點上的資安設備。研究人員進一步分析發現，這些惡意程式主要使用Golang語言開發，並專門設計用來停止各種資安軟體。

「除了將趨勢、微軟的防毒產品程序列入停止清單，其他諸如Avira小紅傘等防毒軟體也被納入目標，」報告中指出，「更令人擔憂的是，攻擊者會將在攻擊目標中發現的特定資安軟體額外加入清單後，重新編譯客製化的惡意程式。」

中芯數據團隊在實際案例中發現，攻擊者不僅使用了zam64.sys這個因馬偕醫院事件而被多數資安廠商列入黑名單的驅動程式，還使用了多個其他嘗試停止資安軟體的驅動程式。這些驅動程式在VirusTotal上大多被超過半數防毒軟體識別為惡意程式。特別值得注意的是，viragt64.sys (SHA1: 05c0c49e8bcf11b883d41441ce87a2ee7a3aba1d) 在VirusTotal上的檢測率相對較低，若未及時阻擋，企業資安軟體極可能被成功停止。

「CrazyHunter大量使用寄生手法，將中繼站連線隱藏於合法網域內，有效繞過資安設備的檢查，」報告中進一步指出。

針對市場上普遍質疑EDR已不再有效的聲音，中芯數據明確表示，EDR「看似」無效的主要原因在於攻擊者運用大量最新紅隊研究和免殺技術，使其在被發現時已接近造成實際損害的階段，極大程度壓縮了資安人員的反應和處理時間。

中芯數據建議企業應採取三方面防護措施：強化偵測能力、確保EDR穩固性，以及完善資安管理。特別是在資安管理方面，企業應定期進行安全性更新、建立良好的安全系統發展生命週期，並嚴格執行資安規範與高權限帳號管理。

報告最後指出，傳統的縱深防禦架構已無法完美抵禦今日的攻擊者，資安人員需從單純購買設備轉向深入研究攻擊階段，掌握最新技術與手法。「與攻擊者的軍備競賽已然開打，唯有與時俱進，方能有效阻擋CrazyHunter等勒索團體的威脅，」報告總結道。

中芯數據表示將持續監控CrazyHunter的活動，並提供最新的防護建議給台灣企業與組織。