此篇文章深入解析了勒索軟體攻擊手法的最新演變,聚焦於駭客如何突破企業端點防護(EDR、防毒軟體)以達成加密檔案、竊取資料的目的。文章指出,駭客為了避免防護系統阻礙勒索軟體執行,常採取自帶驅動程式(BYOVD)等手法,但近期更出現了創新作法:不僅打造能突破防護機制的工具,甚至利用廠商提供的公用程式來移除EDR用戶端軟體。
本文以勒索軟體駭客組織 Crypto24 為例,揭露他們的作案手法。Crypto24 專挑大型企業的高層下手,犯案範圍橫跨亞洲、歐洲及美國,主要鎖定金融服務、製造、娛樂與科技產業。文章細節指出,駭客使用自製的 EDR 反制工具 RealBlindingEDR 變種,並濫用 Windows 群組原則公用程式 gpscript.exe,企圖遠端從網路共享資料夾執行 Trend Vision One 的移除工具 XBCUninstaller.exe。然而作者特別強調,XBCUninstaller.exe 的使用並非像一般漏洞濫用活動那樣簡單。駭客必須先將受害電腦權限提升為管理員,才能嘗試執行此工具,因此無法作為初始入侵管道。駭客的攻擊活動通常集中在離峰時間,以避開監控與偵測,同時達到最大的破壞效果。文章補充,Crypto24 的作案工具相當多元,包括橫向移動工具 PSExec、持續遠端存取軟體 AnyDesk、各式後門程式、鍵盤側錄工具以及用於資料外洩的 Google Drive。
作者指出,Crypto24 的手法代表勒索軟體攻擊活動的轉變。他們巧妙利用合法工具(LOLBins)與惡意軟體結合,融入受害企業的正常 IT 作業流程,並在離峰時段執行攻擊,不僅加密檔案,還收集帳號密碼及外洩內部資料。更令人警覺的是,改造版 RealBlindingEDR 能阻止端點代理程式回傳資料,疑似導入存在弱點的未知驅動程式,可迴避偵測且影響超過 28 個廠牌的端點防護系統,顯示駭客具備高度繞過防禦機制的能力。關於初始入侵方式,文章雖未揭露,但指出一旦駭客進入系統,就會啟用預設管理帳號,建立通用或常見名稱的新帳號,並加入特殊權限群組。他們濫用 Windows 內建 net.exe 命令來建立、修改帳號或重設密碼,使企業透過定期資安稽核難以察覺異常。接著,駭客透過 1.bat 與 WMIC 進行偵察,尋找高價值目標,再以 PSExec 提升權限,並利用鍵盤側錄工具 WinMainSvc.dll 及勒索軟體載入工具 MSRuntime.dll 展開後續活動。
文章還指出,濫用 EDR 廠商提供的部署工具已非首次案例。2025 年 5 月,保險業者怡安(Aon)報告,勒索軟體 Babuk 曾為迴避 SentinelOne 端點代理程式的防護,利用該系統的安裝檔來達成目的。作者強調,Crypto24 將手法升級,不僅能繞過 EDR 偵測,還能進一步移除代理程式,展現出極高的攻擊成熟度與操作技巧。
總結來說,本文完整描繪了勒索軟體攻擊手法從單純加密檔案,到結合側錄、資料外洩、迴避端點防護的進化過程。駭客利用合法工具與自製惡意程式的混合策略,並精準選擇攻擊時機,顯示現代勒索軟體已不僅是「破壞性工具」,而是一種高度組織化、策略化、針對企業運作的資安威脅。文章提供讀者清楚脈絡與技術細節,讓人即便未深入閱讀完整報導,也能掌握 Crypto24 攻擊手法的全貌及其潛在風險。
