8月24日,网络安全公司Trellix发布报告称,近期监测到针对Linux系统的新型攻击链活动。该攻击以钓鱼邮件为传播载体,暗藏开源后门程序VShell,其核心攻击手段在于利用恶意RAR压缩包中文件名嵌入的Bash命令实现自动执行,成功绕过传统杀毒软件的文件扫描机制。
与常见的宏病毒或文件内容隐藏手法不同,此次攻击的狡猾之处在于将Base64编码的Bash恶意载荷直接植入文件名。Trellix指出,攻击者发送的钓鱼邮件会附带特制RAR压缩包,包内文件的命名并非普通标识,而是暗藏可执行的Bash命令。这种设计利用了shell脚本在处理文件名时的安全漏洞——当系统通过eval、echo等命令解析文件名时,若缺乏输入验证与清理机制,便可能无意触发其中的恶意代码,形成命令注入。
更值得警惕的是,传统杀毒引擎通常聚焦于文件内容扫描,对文件名的检测相对薄弱,这使得该攻击得以轻松绕过防御。以典型恶意文件为例,其命名格式类似“ziliao2.pdf{echo,<Base64编码命令>}|{base64,-d}|bash”,当shell解析此文件名时,嵌入的Bash命令会被自动执行,触发下载器从外部服务器获取适配目标设备架构的ELF格式安装文件。
下载完成的ELF文件会主动连接攻击者的命令与控制(C2)服务器,接收加密传输的VShell载荷。该后门程序由Go语言开发,在内存中完成解码与运行,全程不落地磁盘,有效规避了基于文件系统的检测机制。VShell功能全面,支持反向shell建立、文件管理、进程操控、端口转发及加密通信,可适配多种Linux设备架构,对服务器、终端等Linux环境构成严重威胁。
Trellix强调,此类攻击通过“文件名即攻击载荷”的创新手法,突破了传统安全防护的认知盲区,提醒Linux用户需加强钓鱼邮件甄别,对不明来源的RAR压缩包保持警惕,避免在shell环境中直接处理可疑文件名。
相关资讯
