8 月 25 日消息�����,網(wǎng)絡(luò)安全公司 Trellix 昨日(8 月 24 日)披露����,近期網(wǎng)絡(luò)上出現(xiàn)了針對(duì) Linux 的新型攻擊鏈����,通過(guò)釣魚(yú)郵件傳播開(kāi)源后門(mén) VShell。攻擊利用惡意 RAR 壓縮包中文件名嵌入的 Bash 命令實(shí)現(xiàn)自動(dòng)執(zhí)行,并繞過(guò)殺毒軟件文件掃描�����。h7w28資訊網(wǎng)——每日最新資訊28at.com
h7w28資訊網(wǎng)——每日最新資訊28at.com
Trellix 指出攻擊者發(fā)送的郵件附帶一個(gè) RAR 壓縮包��,其中包含文件名嵌入 Bash 命令的惡意文件��。與常見(jiàn)的宏或文件內(nèi)容隱藏不同,這種方法將 Base64 編碼的 Bash 載荷直接放入文件名中��,借助 shell 腳本在解析文件名時(shí)觸發(fā)命令注入�。h7w28資訊網(wǎng)——每日最新資訊28at.com
IT酷哥援引博文介紹,該技術(shù)利用了 shell 腳本在處理文件名時(shí)缺乏輸入清理的漏洞��,例如使用 eval 或 echo 時(shí)可能無(wú)意執(zhí)行任意代碼��。由于殺毒引擎通常不會(huì)掃描文件名�,這種方式能夠繞過(guò)傳統(tǒng)防御機(jī)制����。h7w28資訊網(wǎng)——每日最新資訊28at.com
在被 shell 解析時(shí),如“ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`"”惡意文件名會(huì)觸發(fā)執(zhí)行下載器���,從外部服務(wù)器獲取適配架構(gòu)的 ELF 安裝文件。h7w28資訊網(wǎng)——每日最新資訊28at.com
下載的 ELF 文件會(huì)連接至命令與控制(C2)服務(wù)器�,接收加密的 VShell 載荷并在內(nèi)存中解碼執(zhí)行���。VShell 由 Go 語(yǔ)言編寫(xiě)�,支持反向 shell���、文件操作���、進(jìn)程管理����、端口轉(zhuǎn)發(fā)及加密通信,由于其完全在內(nèi)存中運(yùn)行����,能有效規(guī)避基于磁盤(pán)的檢測(cè),并可攻擊多種架構(gòu)的 Linux 設(shè)備��。h7w28資訊網(wǎng)——每日最新資訊28at.com
本文鏈接:http://m.www897cc.com/showinfo-26-178576-0.htmlRAR 壓縮文件內(nèi)文件名成“武器”:逃避殺毒軟件檢測(cè)����、觸發(fā) Linux 惡意文件
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系��,我們將在第一時(shí)間刪除處理�。郵件:2376512515@qq.com
上一篇: 垃圾食品 + 每天 16 小時(shí)坐電腦前,30 歲玩家遇其“人生最大健康恐慌”
下一篇: 某廠新機(jī)雙攝 + 磁吸外掛鏡頭方案曝光�����,硬剛競(jìng)品超大杯
標(biāo)簽:
津公網(wǎng)安備 12010102000574號(hào)