RAR 压缩文件内文件名成“武器”：逃避杀毒软件检测、触发 Linux 恶意文件

8 月 25 日消息，网络安全公司 Trellix 昨日（8 月 24 日）披露，近期网络上出现了针对 Linux 的新型攻击链，通过钓鱼邮件传播开源后门 VShell。攻击利用恶意 RAR 压缩包中文件名嵌入的 Bash 命令实现自动执行，并绕过杀毒软件文件扫描。tZy28资讯网——每日最新资讯28at.com

tZy28资讯网——每日最新资讯28at.com

Trellix 指出攻击者发送的邮件附带一个 RAR 压缩包，其中包含文件名嵌入 Bash 命令的恶意文件。与常见的宏或文件内容隐藏不同，这种方法将 Base64 编码的 Bash 载荷直接放入文件名中，借助 shell 脚本在解析文件名时触发命令注入。tZy28资讯网——每日最新资讯28at.com

IT酷哥援引博文介绍，该技术利用了 shell 脚本在处理文件名时缺乏输入清理的漏洞，例如使用 eval 或 echo 时可能无意执行任意代码。由于杀毒引擎通常不会扫描文件名，这种方式能够绕过传统防御机制。tZy28资讯网——每日最新资讯28at.com

在被 shell 解析时，如“ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`"”恶意文件名会触发执行下载器，从外部服务器获取适配架构的 ELF 安装文件。tZy28资讯网——每日最新资讯28at.com

下载的 ELF 文件会连接至命令与控制（C2）服务器，接收加密的 VShell 载荷并在内存中解码执行。VShell 由 Go 语言编写，支持反向 shell、文件操作、进程管理、端口转发及加密通信，由于其完全在内存中运行，能有效规避基于磁盘的检测，并可攻击多种架构的 Linux 设备。tZy28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-26-178576-0.htmlRAR 压缩文件内文件名成“武器”：逃避杀毒软件检测、触发 Linux 恶意文件

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 垃圾食品 + 每天 16 小时坐电脑前，30 岁玩家遇其“人生最大健康恐慌”

下一篇： 某厂新机双摄 + 磁吸外挂镜头方案曝光，硬刚竞品超大杯