一种名为"Mamona"的新型勒索软件完全在离线状态下运行,并利用Windows ping命令实施精妙的攻击策略。
离线运行规避检测
与传统勒索软件不同,Mamona完全不与远程服务器通信,这使得常规网络监控工具难以检测其活动。安全专家Mauro Eldritch指出:"这类软件代表了一个新趋势:勒索软件正以降低复杂性换取可操作性。它易于部署,更难被传统工具检测,同时仍能有效加密系统并胁迫受害者支付赎金。"
Mamona的独特之处在于其"静默"运行模式——所有操作均在本地完成,未观察到任何命令控制(C2)通道或数据外泄行为。该勒索软件采用特殊的延迟机制,通过ping非标准的环回地址127.0.0.7(而非常见的127.0.0.1)来规避简单检测规则。
加密与混淆技术剖析
攻击执行流程
感染系统后,Mamona会执行一系列精心设计的步骤。研究人员Mauro Eldritch解释称:"首先利用ping命令作为简易计时机制,随后立即执行自删除命令以限制取证分析。短暂延迟完成后,命令的第二部分会尝试使用Del /f /q从磁盘删除可执行文件。"
该勒索软件通过收集计算机名和系统语言等基本信息进行侦查。其加密过程采用自研算法而非标准加密库,所有加密逻辑均通过底层内存操作和算术运算实现。
文件处理机制
加密文件会被添加".HAes"扩展名(如"document.pdf"变为"document.pdf.HAes"),并在多个目录中投放名为"README.HAes.txt"的勒索信。勒索软件还会更改桌面壁纸显示"您的文件已被加密!"字样。
尽管勒索信中威胁要泄露窃取的数据,但分析证实Mamona实际上并未执行任何数据外泄。安全专家总结称:"完全不存在网络活动,这显然是通过威胁手段胁迫受害者支付赎金。"
攻击背景与防御建议
攻击组织关联
Mamona与BlackLock勒索软件附属组织此前发动的攻击活动存在关联,该组织还涉及另一个名为Embargo的勒索软件变种。2025年3月BlackLock被捣毁后,据称DragonForce组织接管了其运营,使得该勒索软件进一步扩大了影响。
风险特征与应对
虽然Mamona采用相对较弱的加密方法,但其离线运行特性以及对低技能网络犯罪分子的易用性,给个人和组织都带来了重大风险,尤其威胁缺乏专业安全监控的中小企业。
值得庆幸的是,安全研究人员已识别并测试出有效的解密工具。研究人员确认:"尽管解密工具界面较为陈旧,但能有效恢复被加密文件。"
Mamona的出现强化了勒索软件领域一个令人担忧的趋势——向易获取、基于构建工具的勒索软件转变,这种软件优先考虑简单性而非复杂性,降低了非技术型网络犯罪分子的入门门槛。
原文始发于微信公众号(船山信安):新型Mamona勒索软件滥用Ping命令攻击Windows系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论