勒索病毒
【資安事件分析】CrazyHunter 鎖定台灣關鍵產業勒索,強化資安刻不容緩
這份分析報告,深入剖析了新興勒索集團 CrazyHunter。該集團於今年初先後針對醫院及台灣多家上市櫃公司,精心策劃並發動了一場複雜的攻擊行動,其細節將在本文中詳盡呈現。
重點摘要
- CrazyHunter 已經成為一項專門攻擊台灣企業機構的重大勒索病毒威脅,主要鎖定醫療、教育及工業等領域,由於遭到攻擊的都是一些關鍵領域,因此可能導致日常生活的基本服務受到影響。
- CrazyHunter 所使用的技巧相當精密,尤其是「自備含有漏洞的驅動程式」(BYOVD),這項技巧可以讓他們有效避開資安防禦。
- 該集團將 GitHub 上的 Prince 勒索病毒製作工具和 ZammoCide 這類開放原始碼工具納入自己的工具箱來進一步強化攻擊能力。
- CrazyHunter 的工具箱當中約有 80% 都是由開放原始碼工具所組成,因此,很重要的一點就是要監控並保護這些資源,不讓它們被用於惡意用途。
- Trend Vision One™ 目前已可偵測並攔截 CrazyHunter 在攻擊行動中使用的惡意元件,此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 CrazyHunter 的最新入侵指標 (IoC) 等豐富資訊。如需更多其他最佳實務原則,請參閱文末提供的資安建議。
CrazyHunter 在一夕之間成了家喻戶曉的重大勒索病毒威脅,因為該集團的資料外洩網站上個月一成立就公布了十家受害機構,而且全部在台灣。我們內部從 1 月初便開始監控該集團的活動,並且看到了一項明顯的趨勢:他們專門攻擊台灣的企業機構。受害的機構主要是醫院和醫療中心、大學和教育機構,以及製造業和工業機構,可看出被鎖定的機構大多擁有珍貴的資料或屬於敏感產業。
本文說明 CrazyHunter 的手法、技巧與程序 (TTP),尤其是「自備含有漏洞的驅動程式」(BYOVD) 以及使用了 GitHub 平台上的開放原始碼工具,如:Prince 勒索病毒製作工具。近期研究顯示,CrazyHunter 已擴充了他們使用的工具箱、修改了原本使用的工具,並且改進了功能。
我們在搜尋我們內部的監測資料時,發現了以下值得注意的惡意元件:一個濫用 Windows 群組原則物件 (GPO) 的駭客工具、一個含有漏洞的驅動程式 (用來終止處理程序),以及一些使用 Go 程式語言撰寫的執行檔。
有關 CrazyHunter 攻擊行動的主要發現
駭客將 Prince 勒索病毒製作工具納入他們的工具箱這件事尤其令人憂心,因為這套工具可從 GitHub 免費取得,而且還提供了相當友善的方式來製作勒索病毒變種,幫駭客降低了許多進入門檻。CrazyHunter 使用了 BYOVD 的技巧來躲避資安防護,可見其技巧相當高明。CrazyHunter 之所以越來越壯大,要歸功於最新的 SharpGPOAbuse 公用程式、更強的 AV/EDR 對抗能力,以及使用 Go 編譯的執行檔。
CrazyHunter 的出現對台灣的某些關鍵領域是一大威脅,尤其是醫療和教育等產業,這些領域萬一發生營運中斷,很可能將影響日常生活基本服務的供應。
我們在調查過程中發現了三個值得注意的重點:
- 使用 GitHub 上的開放原始碼軟體。
- 更強大的工具箱和工具。
- 主要攻擊台灣。
根據我們研究發現,駭客策略性地刻意瞄準台灣,表示這是一起專門針對台灣的攻擊行動。駭客使用了 GitHub 上的開放原始碼工具,並且擴充了他們使用的工具和方法來增加攻擊的複雜性。
使用 GitHub 上的開放原始碼工具
在 CrazyHunter 的工具箱裡,約有 80% 是來自 GitHub 的開放原始碼工具。根據我們的觀察,他們修改了這些免費工具的原始程式碼來配合自己的特殊需求,大大提升了他們的攻擊能力。
目前我們已發現三個來自 GitHub 的開放原始碼工具,各有其不同用途:
躲避防禦
該集團使用了一個經過量身改造的 ZammoCide 開放原始碼處理程序終止工具的變種,將它改造成整成一個 AV/EDR 終止工具,利用含有漏洞的驅動程式 zam64.sys 搭配 BYOVD 手法將 EDR 產品的處理程序終止。
我們內部監測資料發現駭客會試圖在攻擊中使用這些修改過的工具,我們已根據其所做的改良和修改來為其版本編號,您可以在這裡查看完整的詳細資訊。
此工具執行時,會尋找預設路徑資料夾內含有漏洞的 Zemana Anti-Malware 驅動程式 (zam64.sys),這是用來終止一些高權限的處理程序。接著,它會建立並啟動一個名為「ZammOcide」的服務來載入驅動程式,將裝置物件掛載在:\\.\ZemanaAntiMalware。一個使用者模式的處理程序會透過 IOCTL 控制碼來與驅動程式溝通,觸發核心模式的動作來強制終止處理程序。
此程式會鎖定及終止某些名稱的處理程序 (名稱寫死在程式內),主要是針對防毒和 EDR (端點偵測及回應) 產品,同時也鎖定了 Microsoft Defender 和 Avira 的處理程序。當這個終止程式執行時,會不斷尋找這些處理程序來加以終止,即使這些處理程序以不同的 ID 再次重生,也無法倖免。
權限提升/橫向移動
駭客使用 SharpGPOAbuse 來濫用群組原則物件 (GPO),利用使用者所擁有的 GPO 編輯權限,他們就能入侵經由 GPO 操控的物件,進而植入惡意檔案,並且在受害者的網路內提升權限及橫向移動。
衝擊 (勒索病毒)
這起攻擊行動的主角是一個 Prince 勒索病毒變種,這是一個使用 Go 語言設計的客製化勒索病毒。勒索病毒採用了 ChaCha20 和 ECIES 加密演算法來將檔案安全地加密,駭客還進一步客製化,為加密後的檔案附加一個「.Hunter」副檔名。勒索病毒會植入一個名為「Decryption Instructions.txt」的勒索訊息檔案,並修改受害者的電腦桌布,然後要求支付贖金。
以下詳細列出勒索病毒所排除的副檔名及目錄。這份清單上的檔案不會被加密,所以系統的關鍵功能和某些應用程式還是能夠繼續執行。這麼做可以躲避偵測,有助於達成勒索病毒的目的。
排除在加密之外的副檔名:
- .bat
- .com
- .dll
- .exe
- .inf
- .ini
- .lnk
- .msi
- .ps1
- .reg
- .scr
- .sys
- .vbs
排除在加密之外的目錄:
- .dotnet
- .gradle
- .nuget
- .vscode
- \\system volume information
- appdata
- boot
- efi
- intel
- microsoft
- msys64
- perflogs
- program files
- program files (x86)
- programdata
- public
- public
- system volume information
- system32
- windows
擴充的工具箱與執行方法
駭客不僅仰賴開放原始碼工具,更擴充了他們工具箱和執行方法,這表示他們的策略是努力提升攻擊的複雜性及成效以確保攻擊成功。
執行
駭客會運用批次腳本來執行多個二進位檔案,最終植入勒索病毒惡意檔案。
腳本會執行一系列指令,在不被偵測的情況下植入勒索病毒:
- 初步執行:
- 執行 go2.exe 和 go.exe,利用 zam64.sys 的漏洞來終止各種處理程序。
- 啟動 go3.exe 來植入勒索病毒。
- 對抗防毒軟體:
- 假使 go.exe 無法執行,就執行 av-1m.exe (其功能類似 go2.exe 和 go.exe,但卻是以 C++ 編譯)。
- 植入最終勒索病毒:
- 為了躲避偵測,使用 bb.exe 來載入並執行 crazyhunter.sys ,藉此植入勒索病毒。
- 假使 crazyhunter.sys 執行失敗,就啟動編譯過的 EXE 版勒索病毒來將勒索病毒植入系統。
這些額外的措施可確保就算主要方法失敗了,也能有效植入勒索病毒。圖 7 顯示勒索病毒的植入過程。
常駐/資料外傳
駭客還使用了一個名為「file.exe」的 Go 程式,這是一個監控工具,負責監控網站相關檔案的變更,也可當成將資料外傳的檔案伺服器,主要提供了兩種作業模式:
- 監控模式 - 定期掃描含有特定副檔名的檔案。
- 檔案伺服器模式 - 在可設定的連接埠上執行網站伺服器。
該檔案接受以下幾個指令列旗標:
| 旗標 | 類型 | 預設值 | 說明 |
| -white | bool | FALSE | 在白名單 (true) 與黑名單 (false) 模式之間切換。 |
| -e | string | ".asp" | 要監控的副檔名 (.asp、.php、.jsp)。 |
| -d | string | 當前路徑 | 要監控的目錄路徑,或檔案伺服器的目錄路徑。 |
| -func | string | "" | 功能模式:"monitor" (監控) 或 "fileserver" (檔案伺服器)。 |
| -port | int | 9999 | 檔案伺服器模式的連接埠號碼。 |
| -f | string | "1.asp" | 排除在監控之外的檔案。 |
| =-t | int | 1000 | 以秒為單位的間隔時間 (1000=1秒)。 |
表 1:file.exe 的指令列參數及說明。
主要攻擊台灣
這些攻擊主要都集中在台灣,顯示這是一個專門針對台灣的針對性攻擊。駭客的資料外洩網站上所公布的 10 家受害機構都位於台灣。此外,我們的內部資料也顯示,該集團專門攻擊台灣的中小企業。
除此之外,我們也觀察到,勒索訊息中顯示的客製化電子郵件聯絡地址「Payment[.]attack-tw1337@proton[.]me」,裡面含有「tw」字樣,表示勒索病毒集團是特別瞄準了台灣的機構。
駭客集團策略性運用了 GitHub 開放原始碼工具來大幅提升其躲避資安防禦、橫向移動以及對營運造成衝擊的能力。藉由擴充工具箱與執行方法,駭客展現出他們不僅難纏,而且不斷在精進自己的策略。此外,刻意集中火力的攻擊,也讓他們成為日益嚴重的威脅,企業迫切需要採取嚴格的網路資安措施來對抗勒索病毒集團的進階技巧。
資安建議
勒索病毒是一項日益嚴重的威脅,企業必須採取主動式方法來保障日常營運的安全。以下提供一些通用的最佳實務原則,以及專門針對 BYOVD 技巧和 GitHub 開放原始碼工具的防範指引:
- 確保使用者只能存取其職務角色所需的資料和系統。
- 所有使用者帳號都應該啟用多重認證 (MFA),尤其是系統管理員帳號。
- 確保所有作業系統、應用程式和驅動程式都定期更新及修補,藉此消除已知的漏洞。
- 每日定期將關鍵的資料和系統備份到勒索病毒無法觸及的隔離環境。
- 定期稽核使用者的權限,將不再需要的權限撤銷。
- 採用端點防護軟體來監控並攔截未經授權的驅動程式安裝動作,藉此防範 BYOVD 技巧。
- 定期舉辦教育訓練來協助員工辨識網路釣魚、可疑連結,以及其他常見的攻擊管道。
- 經常盤點所有使用中的裝置驅動程式,並定期檢查是否有任何未經授權的安裝或修改。
- 定期檢視已安裝的驅動程式清單,停用任何沒有用到的驅動程式,盡量減少可能的攻擊。
- 確保只允許經過核准的驅動程式版本,並且隨時保持更新。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起的 AI 驅動企業網路資安平台。這套全方位的方法能協助您預測及防範威脅,讓您在所有數位資產上加速實現主動式防護的成果。它憑著數十年的網路資安領導地位,以及業界首創的 Trend Cybertron 主動式網路資安 AI,為您帶來經得起考驗的具體成果:減少 92% 的勒索病毒風險,以及縮短 99% 的偵測時間。資安領導人可評量自己的資安狀況,向所有利害關係人展示資安的持續改善。有了 Trend Vision One,您就能消除資安盲點,專心處理最重要的問題,讓資安晉升為支援您創新的策略合作夥伴。
Trend Vision One 威脅情報
要隨時掌握持續演變的威脅,Trend Vision One 客戶可透過 Intelligence Reports 以及 Threat Insights 取得各種情報與威脅洞見。Threat Insights 可幫助客戶在威脅發生之前便提前掌握,並對新興的威脅預先做好準備,提供有關駭客、惡意活動及駭客技巧的完整資訊。善用這些情報,客戶就能主動採取步驟來保護自己的環境、防範風險,並且有效回應威脅。
Trend Vision One Intelligence Reports 應用程式 [IoC 掃描]
Trend Vision One Threat Insights 應用程式
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
使用 Zemana Anti-Malware (ZAM64) 的 BYOVD 攻擊 – 偵測系統登錄修改
eventSubId: 402 AND objectRegistryKeyHandle: ZammOcide AND objectRegistryData: zam64.sys
除此之外,Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標 (IoC)
如需本文提到的入侵指標完整清單,請至此處。