文件名暗藏玄机

Trellix研究员Sagar Bade在技术报告中指出：这是一条针对Linux系统的恶意软件感染链，攻击始于包含恶意RAR压缩包的垃圾邮件。这些钓鱼邮件伪装成化妆品调查邀请，以10元人民币报酬诱导收件人参与。有效载荷并非隐藏在文件内容或宏中，而是直接编码在文件名本身。攻击者通过巧妙利用shell命令注入和Base64编码的Bash有效载荷，将简单的文件列表操作转变为自动执行恶意软件的触发器。

这家网络安全公司补充道，该技术利用了shell脚本中常见的一个简单但危险的模式——当文件名未经充分净化处理就被评估时，像eval或echo这样简单的命令就可能促成任意代码执行。

更关键的是，该技术还能绕过传统防御机制，因为杀毒引擎通常不会扫描文件名。

攻击流程剖析

攻击的起点是一封包含RAR压缩包的电子邮件，其中有个经过精心构造的文件名："ziliao2.pdf{echo,<Base64编码命令>}|{base64,-d}|bash"。该文件名包含Bash兼容代码，设计用于在shell解释时执行命令。值得注意的是，单纯从压缩包提取文件不会触发执行，只有当shell脚本或命令尝试解析该文件名时才会激活。

Trellix表示，这种特殊语法的文件名无法手动创建，很可能是通过其他编程语言生成，或是利用绕过shell输入验证的外部工具/脚本植入的。这会导致嵌入的Base64编码下载器被执行，进而从外部服务器获取适合目标系统架构（x86_64、i386、i686、armv7l或aarch64）的ELF二进制文件。该二进制文件随后会与命令控制（C2）服务器建立通信，获取加密的VShell有效载荷，解密后在主机上执行。

精心设计的社交工程

据披露，这些钓鱼邮件伪装成化妆品调查邀请，以10元人民币报酬诱导收件人参与。Bade解释道："关键在于邮件包含RAR压缩包附件('yy.rar')，尽管没有明确指示用户打开或解压。社交工程手法很隐蔽：用户注意力被调查内容吸引，可能会误以为附件是调查相关文档或数据文件。"

VShell后门特性

VShell是一款基于Go语言的远程访问工具，近年来被广泛使用，支持反向shell、文件操作、进程管理、端口转发和加密C2通信。该攻击的危险性在于恶意软件完全在内存中运行，可规避基于磁盘的检测，且能针对各类Linux设备。

Trellix强调："这次分析揭示了Linux恶意软件投递的危险演变——RAR压缩包中简单的文件名就能被武器化来执行任意命令。感染链利用shell循环中的命令注入，滥用Linux宽松的执行环境，最终投递具备完全远程控制系统能力的强大后门VShell。"

相关技术动态

与此同时，Picus Security发布了对Linux后期利用工具RingReaper的技术分析，该工具利用Linux内核的io_uring框架规避传统监控工具。目前尚不清楚该恶意软件的幕后黑手。

安全研究员Sıla Özeren Hacıoğlu指出："RingReaper没有调用read、write、recv、send或connect等标准函数，而是使用io_uring原语（如io_uring_prep_*）异步执行等效操作。这种方法有助于绕过基于钩子的检测机制，降低EDR平台常见遥测数据中恶意活动的可见性。"

RingReaper利用io_uring枚举系统进程、活动伪终端(PTS)会话、网络连接和登录用户，同时减少自身痕迹并规避检测。它还能从"/etc/passwd"文件收集用户信息，滥用SUID二进制文件提权，并在执行后清除自身痕迹。

Picus表示："它利用Linux内核现代异步I/O接口io_uring，最大限度减少对安全工具常监控或挂钩的传统系统调用的依赖。"