資安公司Trellix的研究人員近日披露一種針對Linux系統的全新攻擊手法,駭客透過釣魚郵件傳遞開源後門程式VShell,將惡意程式碼直接編碼在RAR檔案的檔案名稱中,而非隱藏在檔案內容或巨集中。
Trellix研究員Sagar Bade表示:「這種Linux專屬的惡意程式感染鏈始於包含惡意RAR壓縮檔的垃圾郵件。攻擊者巧妙運用shell命令注入和Base64編碼的Bash載荷,將簡單的檔案列表操作轉變為自動執行惡意程式的觸發器。」
關鍵技術特點
整個攻擊過程始於攻擊者發送包含RAR壓縮檔的釣魚郵件。壓縮檔內含有特製檔名的檔案:ziliao2.pdf{echo,<Base64-encoded command>}|{base64,-d}|bash``,當shell腳本或命令嘗試解析檔名時便會觸發執行。隨後系統會執行內嵌的Base64編碼下載器,從外部伺服器獲取適合系統架構的ELF二進制檔案,最終與命令控制伺服器建立連線,取得加密的VShell載荷並執行。
此攻擊手法的核心在於檔名武器化,利用shell腳本處理檔名時缺乏適當驗證的漏洞。由於防毒引擎通常不掃描檔案名稱,因此能有效繞過傳統防護機制。更危險的是,惡意程式完全在記憶體中運作,避免磁碟偵測,同時支援x86_64、i386、i686、armv7l或aarch64等多種系統架構。
攻擊者將釣魚郵件偽裝成美容產品問卷調查邀請,完成調查可獲得獎勵為誘餌。郵件巧妙地包含RAR壓縮檔附件「yy.rar」,但並未明確指示用戶開啟,利用用戶對問卷內容的關注而忽略附件的潛在威脅。
VShell是一款基於Go語言開發的遠端存取工具,近年來被多個中國駭客組織使用,包括
UNC5174等。該工具整合了反向shell連線、檔案操作、程序管理、連接埠轉發以及加密C2通訊等多項功能,對目標系統構成嚴重威脅。
RingReaper:另一Linux威脅
此外,Picus Security也發布了另一款Linux後滲透工具RingReaper的技術分析。該工具利用Linux核心的io_uring框架來規避傳統監控工具,透過使用io_uring原語執行非同步操作來繞過基於hook的偵測機制,有效降低EDR平台常見遙測資料的可見性。RingReaper還具備系統程序列舉、網路連線監控、使用者資訊收集等功能,更危險的是,它可以濫用SUID二進制檔案進行權限提升並清除執行痕跡。
防護建議
針對企業組織,建議加強員工資安意識培訓,提高對釣魚郵件的警覺性,同時實施嚴格的郵件附件過濾政策。組織應部署能夠分析檔案名稱的進階威脅偵測解決方案,並定期更新Linux系統和安全工具,確保防護機制保持最新狀態。
對於技術人員而言,在shell腳本中適當驗證和清理檔案名稱至關重要,應避免在處理使用者提供的檔案名稱時使用eval或echo等危險命令。此外,實施應用程式白名單和行為監控機制,密切監控異常的記憶體執行行為,都是有效的防護措施。
這些新型攻擊手法凸顯了Linux環境面臨的安全挑戰日益複雜。攻擊者持續創新技術手段,利用系統特性和傳統防護的盲點進行攻擊。組織必須採用多層次防護策略,結合技術防護和使用者教育,才能有效應對這些進階威脅。
本文轉載自thehackernews。