資安專家近期發現一款名為「Mamona」的新型勒索軟體,該惡意程式以其精簡架構與無聲執行特性引起業界高度關注。有別於一般勒索軟體需仰賴指揮控制(C2)伺服器通訊,Mamona 採用完全離線獨立運作模式,成功規避以網路流量監控為主的傳統防護機制。
離線執行模式突破防護盲點
Mamona 在 Windows 環境中以獨立執行檔形式運行,其離線操作特性暴露出現有防禦架構的關鍵漏洞。這種攻擊手法引發資安界深度思考:當惡意程式不產生任何網路通訊時,即使是最先進的防毒軟體與偵測系統,又該如何發揮效用?
Mamona 的執行機制設計精密。一旦啟動,該惡意程式會透過修改後的 ping 指令「cmd.exe /C ping 127.0.0.7 -n 3 > Nul & Del /f /q」製造三秒延遲,接著立即執行自我刪除。這套自毀機制能有效清除數位證據,讓資安專家難以進行事後分析與追蹤。
值得注意的是,Mamona 刻意使用 127.0.0.7 取代常見的 127.0.0.1 回環位址,藉此躲避基礎偵測機制。攻擊完成後,系統會出現名為 README.HAes.txt 的勒索訊息檔案,所有遭加密檔案則被重新命名為 .HAes 副檔名。
Wazuh 提出專業偵測方案
開源資安監控平台 Wazuh 針對此威脅開發出專門的偵測機制。該平台整合 Sysmon 技術強化端點日誌收集能力,並建立客製化規則來識別 Mamona 的惡意行為模式。
Wazuh 的追蹤策略主要分為兩個層面:結合 Sysmon 進行深度日誌分析,以及部署自訂規則來標記特定可疑活動,包括勒索訊息檔案建立與基於 ping 的延遲機制。根據技術文件,規則 100901 專門監控 README.HAes.txt 檔案的產生,而規則 100902 則在同時偵測到勒索通知與延遲自刪序列時確認威脅存在。
「即插即用」特性加速威脅擴散
Wazuh 研究團隊指出,Mamona 的「即插即用」設計大幅降低了使用門檻,讓更多網路犯罪分子能輕易取得並部署此類工具。這種趨勢加速了勒索軟體的商品化,同時也凸顯出企業組織急需重新評估現有防護策略的必要性。
由於此類攻擊完全不依賴遠端控制基礎設施,傳統以網路監控為核心的防護架構面臨前所未有的挑戰。資安專家建議企業應儘速檢視並強化端點偵測與回應(EDR)機制,以應對這類新興離線威脅。