【ＺＴＡ視角下的勒索軟體攻防筆記：第 1 篇】AI 時代的 RaaS：我為何決定用 Zero Trust 重新審視勒索攻擊

從 GandCrab 到 CrazyHunter：勒索軟體的疾速演化

還記得 2018 年 GandCrab 初次崛起時，不少資安人員都被那個「勒索即服務」(Ransomware-as-a-Service, RaaS) 概念嚇了一跳：過去必須自己寫程式、租用伺服器、手動發送釣魚郵件，現在只要付費訂閱，點幾下就能把整套勒索工具包（包含加密器、支付頁面、贖金收取管道）搬到自己手中，分成機制則讓開發者與使用者各取所需，彷彿網路犯罪版的「開店分帳」。GandCrab 透過自動化腳本滲透後台一鍵加密，並用 BitPay 付款鏈接收贖金，不僅大幅降低入門門檻，也推動了地下論壇內部署勒索軟體的洪流。到了 2020 年，Maze 夜夜推出「雙重勒索」：先加密受害者資料，再威脅公開敏感檔案，徹底顛覆「有備份就不怕」的舊思維。LockBit 則以閃電式多線程加密風靡一時，證明「速度」就是贏家；它們每一次技術突破，都讓防禦者的餘地越來越小。

隨著人工智慧技術的成熟，2023 年的 Medusa 和 2025 年的 CrazyHunter 進一步把 RaaS 生態推向新境界：不僅是插即用工具包，還掛載 AI 演算法，能在初始偵察階段自動掃描公開弱點、優先鎖定高價值伺服器，並用強化學習驅動橫向移動決策，隨環境變化自行取捨傳送方式（例如混淆後的 HTTPS、Tor 隱蔽通訊或合法雲端服務通道）。CrazyHunter 更創新地結合 BYOVD（自帶漏洞驅動程式）技術，把經過簽章卻存在已知漏洞的驅動安裝到受害者主機，瞬間解除 EDR 保護，讓攻擊者得以在核心層無聲無息地執行任意程式。這股結合 AI、自動化與開源工具的攻擊浪潮，已經把「勒索」演變成一條真正的黑市產業鏈，讓犯罪效率和隱蔽程度前所未見地提升。

AI 加速的攻擊節奏

想像一下，駭客不再是披著黑帽、藏身暗巷的孤狼，而是一群穿西裝打領帶的「勒索軟體店長」，他們把自己的惡意程式包裝成「即租即用」的服務（RaaS），讓任何人都能輕鬆上架、分潤。更有趣的是，這些店長還會雇用「AI 小幫手」，這些「自動化演算法」會幫他們挑出最有錢的目標、模擬最難被防毒軟體察覺的攻擊路徑。當年我們還在追逐 GandCrab 的身影時，現在的 CrazyHunter 早已在不到 48 小時內完成：利用一支看似無害的 USB 隨身碟一鍵下手，接著載入一個「自帶漏洞驅動程式」（BYOVD），瞬間關閉你的防毒與偵測工具，然後透過 Windows 群組原則（GPO）像灑種子般在企業內部散播後門，最後再以超快且高安全性的 ChaCha20 算法，把你的檔案鎖得死死的。

面對這種「黑幫也用 AI、工具也愈來愈合法」的攻擊模式，傳統的「在城門口守衛」已經不夠了。我們必須把防禦想像成一張永遠在更新的 VIP 名單：任何想進場的人，都要在門口出示「多因素驗證（MFA）票券」、通過裝置健康檢測，甚至在每一次跨區移動時都要重新刷臉。這就是 Zero Trust（零信任）策略，簡單來說就是「誰也別放過，處處都要檢查」。當 CrazyHunter 或 Medusa 這些 RaaS 店長準備大開殺戒時，動態微隔離（micro-segmentation）會先把他們阻擋在小區段裡，再由使用者與實體行為分析（UEBA）針對「突然大量 PowerShell 指令」或「不尋常的 Kerberos 票證使用」發出紅旗，最後交給自動化協同回應（SOAR）一鍵隔離、通報、清查。如此一來，即便駭客速度比閃電還快，我們也能在他們開第一槍時就先行攔截，讓整個攻擊計畫在萌芽階段就夭折。

傳統防禦為何愈來愈脆弱

如今，勒索軟體已經不再像傳統電影裡那種「駭客深夜潛入畫面」般單一步驟加密，而演變成一整條高速公路般的攻擊鏈。首先，駭客會利用一個名為 BYOVD（Bring Your Own Vulnerable Driver）的「合法驅動程式」，趁你毫無防備地載入系統後，一鍵關閉你的防毒與偵測工具；接著，他們再運用 LOTL（Living Off The Land）策略，把系統內建的 PowerShell、Windows 管理工具當作內鬼，用最不容易引發警報的方式在網路裡橫向移動。最後，雙重勒索（double extortion）手法把雲端或本地的備份當做人質：即便你有備份，也要同時擔心資料被偷走並公開。當攻擊速度被 AI 推到「幾分鐘完成整條鏈」時，傳統「城牆式」防禦就像土做的擋箭牌，無法抵擋這波波湧來的勒索浪潮。

要在這種威脅潮中建立防線，就必須用上「零信任」的思維，也就是不再假設任何內部流量或使用者是安全的，而是對每一次存取請求都重新驗證身份與裝置健康。具體做法包含「微分段」（micro-segmentation），把整個網路劃分成數十個小區段，限制不同區段之間的通訊；「行為異常偵測」（UEBA），用機器學習模型持續監控不尋常的操作序列；以及「自動化協同響應」（SOAR），當系統偵測到可疑行為，立刻由流程自動執行隔離、通報與恢復步驟。這套「持續驗證、動態授權、秒級隔離」的組合，可以把攻擊者的活動打散在數千道小閘門前，讓每一次進攻都必須重新通過多道驗證，最終大幅縮短偵測—回應時間，並讓勒索軟體在萌芽階段就被擋下。

零信任的吸引力：把問題拆成一次一次驗證

以前的我們習慣把公司內網當成禁區，只要你進得了公司 VPN，就被默認為可信任角色，但事實上，每個透過公司VPN連上內網的使用者都值得被信任嗎？

就在這個時候，我拜讀到李逸元老師今年發表的〈零信任成熟度評估模型 ZTAID 介紹〉。裡頭一句話與過去的觀念格外與眾不同：「不要假設任何封包、任何身分、任何裝置天生可信。」也就是說，Zero Trust（零信任）徹底顛覆了本段開頭所說的舊思維。它不再問「你現在在辦公室還是家裡？」，而是每一秒都反覆確認「你到底是誰？你的裝置有沒有打上最新補丁？你要連去哪台伺服器？那台伺服器上的資料有多敏感？」這五道驗證就像給你的每一次操作加上六道密碼鎖，缺一不可：身份（人）、健康檢查（機）、微分段（網）、應用程式授權和資料分級。只要其中一把鎖沒開，就會立刻中斷連線，甚至被要求再輸入一次多因素驗證，讓駭客在一條條重重關卡前卡關，攻擊成功率頓時大降。

想像電腦世界裡的「門禁系統」不只在大門口，而是分布在郵件伺服器、檔案庫、應用程式後台等每個關鍵節點；Zero Trust 就像在每扇門上都裝了活體驗證＋聲紋＋臉部辨識，一旦發現異常，譬如你的筆電突然沒有打安全補丁，或你從未在半夜三點操作這個系統，系統就會立刻「關門」並通報安全團隊。這種持續驗證和動態授權的做法，能夠把駭客的活躍空間切割成無數小塊，任何一條裂縫都難以讓他們一勞永逸地橫移佈署勒索軟體。在 AI 時代、勒索軟體攻擊變得又快又隱蔽的今天，Zero Trust 代表了一種「滴水不漏」的全新防禦思維，讓企業即使面對最先進的 RaaS，也能在出手前就把威脅攔下。

第一手資料：重新比對攻擊鏈

為了驗證這套思路，我把 Medusa 與 CrazyHunter 完整的 TTP（Technique, Tactic, Procedure）對映到 ZTAID 五支柱。結果十分直觀：

• 身分支柱欠缺 MFA → 釣魚一擊即中。

• 裝置支柱未健檢驅動程式 → BYOVD 直接闖核心。

• 網路支柱缺乏微隔離 → PsExec 橫移無阻。

• 應用支柱沒做 RBAC → GPO 被大規模濫用。

• 資料支柱沒分級加密 → 外洩檔案直接能賣錢。

這種將整條攻擊流程拆解成多個驗證關卡的做法，展現了零信任策略的威力。只要在每一個駭客必經之路插入一個驗證點，就能把原本一氣呵成的攻擊步驟拆成零星碎片，讓整體入侵變得困難重重。相較於過去一次性依賴單一防線的「城牆思維」，把防守重點放在多個小型「驗證閘門」上，更符合資源有限的組織需求，也能在攻擊者試圖利用 AI 強化的快速攻勢時，將他們逼得無所遁形。

做與不做：我取捨的思考

我一開始還天真地想要把 CrazyHunter 那顆名為 zam64.sys 的驅動程式一條一條反編譯，看看裡面到底藏了哪根筋線能讓駭客直接關閉我們的防毒與偵測工具。這就像拆解一只咖啡機，想找到哪顆螺絲能讓機器停擺。然而研究一番才發現，即便我成功搞懂了這個漏洞驅動的運作邏輯，也不見得能在下次出現一個全新版本的驅動時立刻攔截。大家都會推出新的驅動或變體，我花了好幾天就只能證明「核心保護有破綻」這一點卻無法堵住所有可能的破洞。

於是我把重心改放在更能廣泛防禦的方向：動態微網路分段、行為異常偵測和自動化回應協調。首先我利用軟體定義網路技術，依照使用者身分與裝置風險分數動態切割網路區塊，讓駭客無法一通 PsExec 指令就自由跳來跳去。接著我用使用者與實體行為分析模型長期學習正常操作模式，任何無檔案 PowerShell 執行或憑證異常取用都會亮紅燈。最後我把這些警報串接到自動化回應平台，只要有異常出現就立刻隔離可疑主機並通知資安團隊，將「偵測到問題到採取行動」的時間從好幾小時縮短到幾分鐘。雖然我暫時放下了逆向驅動的計畫，但這條路讓我真正對應到 ZTAID 模型中 Protect、Detect、Respond 三大功能，能夠實際測量和優化整個防禦流程。

下一步：把理念變成可量化的 PoC

在我的網路實驗室裡，我先拿出開源 SDN 控制器，就像一位城市規劃師，在原本大而無籽的企業網路裡動態劃分出三個「隔離區」。這些隔離區就像街區裡的安全檢查站，任何可疑流量一旦觸及，就馬上被重新導引到專門的 Quarantine VLAN 中，讓惡意程式無法繼續在網路裡橫衝直撞。這種微分段技術不只是多開了幾道門禁，而是讓整個網路像高安全度社區一樣有多重防線，讓攻擊者的每一步都得重新驗證。

接著，我把 ELK 平台和機器學習模型結合，開始監控 PowerShell 的每一條命令列。想像有隻看門狗，可以學習哪些指令是家人常用的開門方式，哪些是陌生人的怪聲呼叫。當模型偵測到那些平常很少見的指令，就會自動給出一個「異常分數」，讓我們知道這可能是駭客在試探漏洞。一旦分數飆高，系統會把這條紀錄送進下一道流程，告訴防禦中心這可能就是入侵的關鍵瞬間。

最後在自動化回應平台（SOAR）裡，我將 MITRE ATT&CK 中的 T1059 技術編入腳本，只要發現上述異常分數觸發，整個腳本便立刻啟動。這就像在防守比賽裡預演好的戰術，只要對手一露頭，球員就立刻攔截並反擊。腳本不僅會自動隔離受影響的主機，還會彙整事件通知給相關人員，讓真正的決策者能在眨眼間掌握全局。

接下來，我要把這些數據匯入 ZTAID 儀表板，測試成熟度指標從原本的 2.3（代表「資料裸奔」）升至 3.0（代表「資料即時加密」）後，究竟能把資料外洩面積壓縮到多小的規模。李老師在文章中提出，這之間的「2.8 到 3.0」是一道風險分水嶺，透過實驗數據，我可以親手驗證這道分水嶺是否真的能拯救我們的敏感資料不被大規模外流。

尾聲：以不斷「拆解」對抗不斷「整合」

勒索軟體即服務這個概念讓人想起百貨公司的行銷模式：你只要開個信用卡分期期限，就可以隨心所欲地租借各式攻擊模組，從木馬到加密器，還有專門負責支付與洗錢的後勤團隊，一應俱全。駭客們相當像連鎖快餐店的加盟主，總公司負責研發和維護最新配方，加盟者只要負責操作和收錢，就能迅速在全球鋪開。然而這種「一站式」的服務使得攻擊者能夠以驚人速度複製曾經成功的套路，也讓整個網路犯罪生態變得像跨國企業一樣有條不紊。

面對這種強大而整合的威脅，零信任策略則彷彿在拆卸這座犯罪工廠的生產線。它不再相信任何一次性的身分認證，也不認為某個網路區域就天生安全，而是要求所有人、所有裝置、所有資料存取都必須一再驗證。每一次存取請求都要過細緻的身分識別、裝置檢測、行為分析以及敏感度分級，任何一環出現異常便立刻暫停。這種層層拆解的做法猶如拆解一臺精密機器，把原本流水線式的攻擊流程一點一滴拆成無數個小環節，讓駭客無法再享受從倉庫到前台的高速直通車，而必須屢屢繳驗通行證，才能逐步推進下一步行動。

---

面對這場看似無懈可擊的犯罪工廠，零信任或許正是那把能夠逐步拆解它生產線的利刃。下回，我們將深入拆解最前線的「微分段＋UEBA＋SOAR」三層聯防，看看它們如何在分秒必爭的攻防對決中拔得頭籌。敬請期待！