【2025臺灣資安大會】從臺灣醫院 Crazy Hunter 事件學到的經驗，如何更即時調查風險

作者：王若樸 ｜ 轉錄：iThome ｜ 發稿日期：2025 年 5 月10 日

在今年度臺灣資安大會中，資安新創艾盾資科 AIShield 分析去年底延燒至今年的 Crazy Hunter 勒索軟體攻擊事件，點出受害企業雖都採用標準的資安防護軟體，如 EDR、SOC、MDR ，但真正問題在於風險調查的效率和深度，若能即時調查，就能善用安全分析自動化平臺，可以快速啟動後續回應和修復。

安全分析自動化平臺如何在攻擊事件發揮作用

艾盾資科 AIShield 技術顧問主任羅煜賢用一系列資安事件，來說明風險調查效率和深度的重要性。

首先，艾盾資科 AIShield 注意到，去年 11 月，不同單位開始出現USB告警，為查出背後原因，他們派調查員拿 USB ，到臺中至臺北公家機關和學校附近的影印店使用 USB ，發現其中幾家電腦有病毒，這些病毒會透過 USB ，侵入企業和醫療機構。這屬於實體入侵。

再來，艾盾資科 AIShield 發現，在去年另一家資安業者戴夫寇爾 (Devcore) 揭露PHP漏洞 CVE-2024-4577 之後，去年 12 月開始出現駭客利用該漏洞攻擊醫療業者。 (如下圖)

接著，今年 1 月 28 日，艾盾資科 AIShield 監測到第一家遭到攻擊的醫療機構，接著， 2 月 6 日至 9 日，第二起事件，馬偕紀念醫院遭受攻擊，600 多臺電腦受到影響。

在這一系列事件中，也有企業用安全分析自動化平臺 Intezer 分析問題，盡速設定阻擋機制。羅煜賢以第三起受駭的企業為例，自動化分析工具 Intezer 先對第一個入侵的 bb.exe 檔案進行「基因檢測」，就像是將惡意程式碼在病毒基因資料庫比對一樣，幾秒內判斷出該檔案具有Redflare Malware Family 基因。當時全球尚無這款數位病毒株的資料，這個情資直到 2 月 12 日才被公開。

這種透過基因分析比對、辨識未知惡意程式的作法，比傳統資安情資共享還有效。羅煜賢點出，傳統資安情資共享著重已知的惡意程式 Hash 值，但在這次 Crazy Hunter 攻擊中，駭客針對不同攻擊目標使用不同病毒排列組合的惡意程式，導致只著重 Hash 值的情資共享成效有限。 (如下圖)

舉例來說，今年 2 月 9 日，一家企業遭到攻擊， 6,600 多臺 EDR 跳出 30 多筆告警，運用安全分析自動化平臺的分析，30 秒內完成調查、15 分鐘內完成通報，進而將受害主機控制在特定範圍，大幅降低影響規模。 (如下圖)

另一個例子是，今年 3 月 13 日下午 2 點 36 分，Crazy Hunter 又一次攻擊另一家醫療業者，攻擊者試圖上傳 Webshell 到某臺主機，遭到 EDR 阻擋，入侵失敗。但在 7 個小時後，也就是晚上 9 點多，攻擊者再次發動變種攻擊，對第二次的進階攻擊，EDR 僅顯示中風險而沒有阻擋。另外安裝的安全分析自動化平臺啟動，31 秒完成分析、15 分鐘內通報使用的企業，來防止進一步影響。

從這幾起事件來看，羅煜賢點出，這些企業都採用 EDR、SOC、MDR 等標準資安防護軟體，但傳統基於規則、Hash 值或 IP 位址的情資交換方式，在面對快速變化的攻擊手法時效果有限。

需加強風險調查的效率和深度

也因此，羅煜賢建議，企業該要求 SOC 和 MDR 廠商與時俱進，採用更好的工具，來強化風險調查的效率和深度。

因為，現行的 SOC / MDR 廠商運作流程是先透過產品自動偵測風險，再進行風險調查和後續回應。但大多數廠商的風險調查速度緩慢，多半仰賴人類專家調查，需 1 到 2 天完成，而後續的回應措施，則在風險出現後的 2 到 4 天才會實現，大幅影響反應速度。

相較之下，透過解析惡意程式的「基因檢測」獲取病因，目前技術可以做到，15 秒至 2 分鐘就能完成 Pre-IR 階段，後續 15 分鐘內啟動應變機制，可以更快速回應風險事件。而且，每一筆告警的調查證據也能回存到 EDR 保留一段時間。羅煜賢補充，透過這樣的自動化分析方式，針對每 EDR 的任何告警，不論是高風險、中風險、低風險還是資訊風險，都可以進行調查。

羅煜賢總結，從一系列 Crazy Hunter 攻擊事件的經驗中，企業可要求 SOC / MDR 廠商加強風險調查速度，並提供每筆告警的調查證據，不論是風險等級都應提供，才能確保無漏報，強化安全。

閱讀 iThome 報導原文：https://ithome.com.tw/news/168789

圖片出處： iThome