Linux 恶意软件通过恶意 RAR 文件名传播，可逃避防病毒检测

网络安全研究人员揭示了一种新型攻击链，该攻击链利用网络钓鱼电子邮件来传递名为VShell的开源后门。

Trellix 研究员 Sagar Bade在一篇技术文章中表示， “Linux 特定的恶意软件感染链始于一封带有恶意 RAR 存档文件的垃圾邮件” 。

有效载荷并非隐藏在文件内容或宏中，而是直接编码在文件名本身中。通过巧妙地利用shell命令注入和Base64编码的Bash有效载荷，攻击者将简单的文件列表操作变成了恶意软件的自动执行触发器。

该网络安全公司补充说，该技术利用了 Shell 脚本中常见的一种简单但危险的模式，这种模式在文件名评估时未经充分清理就会出现，从而导致像 eval 或 echo 这样的简单命令有助于执行任意代码。

网络安全
更重要的是，该技术还具有绕过传统防御措施的额外优势，因为防病毒引擎通常不会扫描文件名。

攻击的起点是一封包含 RAR 存档的电子邮件，其中包含一个恶意制作的文件名的文件：“ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`”

具体来说，文件名包含与 Bash 兼容的代码，这些代码被设计为在 Shell 解释时执行命令。值得注意的是，简单地从存档中提取文件并不会触发执行。相反，只有当 Shell 脚本或命令尝试解析文件名时才会触发执行。

Trellix 表示，这里要考虑的另一个重要方面是，不可能用这种语法手动创建文件名，这意味着它可能是使用另一种语言创建的，或者使用绕过 shell 输入验证的外部工具或脚本删除的。

这反过来又会导致嵌入式 Base64 编码下载程序的执行，该下载程序随后从外部服务器检索适用于相应系统架构（x86_64、i386、i686、armv7l 或 aarch64）的 ELF 二进制文件。该二进制文件会启动与命令和控制 (C2) 服务器的通信，以获取加密的 VShell 有效载荷，并在主机上解码并执行。

Trellix 表示，这些钓鱼邮件伪装成美容产品调查的邀请，以金钱奖励（10 元人民币）来吸引收件人完成调查。

“至关重要的是，该电子邮件包含一个 RAR 压缩包附件（‘yy.rar’），尽管它没有明确指示用户打开或解压它，”Bade 解释道。“社会工程学的攻击角度很微妙：用户被调查内容分散了注意力，附件的存在可能会被误认为是与调查相关的文档或数据文件。”

VShell 是一款基于 Go 语言的远程访问工具，近年来被中国黑客组织广泛使用，包括UNC5174，支持反向 shell、文件操作、进程管理、端口转发和加密 C2 通信。

这次攻击的危险之处在于恶意软件完全在内存中运行，避免了基于磁盘的检测，更不用说它可以针对各种 Linux 设备。

Trellix 表示：“这项分析凸显了 Linux 恶意软件传播方式的危险演变，其中嵌入 RAR 压缩包的简单文件名即可被武器化，用于执行任意命令。感染链利用 Shell 循环中的命令注入，滥用 Linux 的宽松执行环境，最终传播一个强大的后门 VShell 恶意软件，该恶意软件能够完全远程控制系统。”

身份安全风险评估
与此同时，Picus Security 发布了一份针对 Linux 后漏洞利用工具 RingReaper 的技术分析报告，该工具利用 Linux 内核的io_uring 框架来绕过传统的监控工具。目前尚不清楚该恶意软件的幕后黑手是谁。

安全研究员 Sıla Özeren Hacıoğlu表示： “RingReaper 并不调用 read、write、recv、send 或 connect 等标准函数，而是使用 io_uring 原语（例如 io_uring_prep_*）异步执行等效操作。这种方法有助于绕过基于钩子的检测机制，并降低 EDR 平台通常收集的遥测数据中恶意活动的可见性。”

RingReaper 利用io_uring枚举系统进程、活动伪终端 (PTS) 会话、网络连接和登录用户，同时减少占用空间并避免被检测到。它还能够从“/etc/passwd”文件收集用户信息，滥用 SUID 二进制文件进行权限提升，并在执行后清除自身痕迹。

Picus 表示：“它利用 Linux 内核的现代异步 I/O 接口 io_uring，最大限度地减少对安全工具经常监控或挂钩的常规系统调用的依赖。”