关键发现

CrazyHunter已成为针对台湾组织的重大勒索软件威胁，主要攻击医疗、教育和工业领域。其攻击可能导致关键服务中断。该组织采用以下高级技术：

• BYOVD技术：利用自带漏洞驱动（Bring Your Own Vulnerable Driver）绕过安全防护
• 开源工具滥用：80%的工具链来自GitHub开源项目（如Prince勒索软件构建器和ZammoCide）
• 地域针对性：所有已披露受害者均位于台湾

攻击技术深度分析

1. 防御规避技术

• ZammoCide工具改造：利用Zemana反恶意软件驱动（zam64.sys）漏洞终止EDR进程

  1 2	# 创建恶意服务加载漏洞驱动 sc create "ZammOcide" binPath= "C:\Windows\System32\drivers\zam64.sys"

2. 横向移动技术

• SharpGPOAbuse工具：通过组策略对象(GPO)编辑权限部署恶意负载

  1	SharpGPOAbuse --AddComputerTask --TaskName "Update" --Author DOMAIN\Admin

3. 勒索模块特征

• Prince勒索软件变种：
  • 加密算法：ChaCha20 + ECIES
  • 文件标记：添加".Hunter"扩展名
  • 白名单机制：排除系统关键目录（如system32、Program Files）

  1 2	白名单扩展：.dll,.exe,.sys 白名单路径：C:\Windows\System32

攻击流程图解

1
2
3
4
5
6
7

graph TD
    A[初始执行] --> B[go2.exe加载漏洞驱动]
    B --> C{检测EDR进程}
    C -->|存在| D[go.exe终止防护进程]
    C -->|不存在| E[av-1m.exe备用方案]
    D --> F[bb.exe部署crazyhunter.sys]
    F --> G[加密文件并投放勒索信]

台湾定向攻击证据

• 勒索联系人邮箱包含"tw"标识：payment[.]attack-tw1337@proton[.]me
• 数据泄露网站仅显示台湾受害者（10家机构）

防护建议

1. BYOVD防护：

   • 启用驱动签名强制验证
   • 维护授权驱动程序清单

   1 2	# 启用驱动程序代码完整性 Set-RuleOption -FilePath CI.xml -Option 0 -Delete

2. 开源工具监控：

   • 对GitHub热门安全工具实施下载审计
   • 建立编译行为基线监控

3. 趋势科技防护方案：

   • Trend Vision One™检测覆盖所有攻击阶段
   • 威胁情报订阅提供最新IoC指标：

     1 2 3

     /* 狩猎查询示例 */ SELECT * FROM ProcessEvents WHERE ProcessName LIKE '%zam64.sys%'

完整IoC指标

包含40+个恶意样本哈希、C2域名和漏洞驱动签名，详见威胁情报报告。