RAR 压缩文件内文件名成“武器”：逃避杀毒软件检测、触发 Linux 恶意文件

8 月 25 日消息，网络安全公司 Trellix 昨日（8 月 24 日）披露，近期网络上出现了针对 Linux 的新型攻击链，通过钓鱼邮件传播开源后门 VShell。攻击利用恶意 RAR 压缩包中文件名嵌入的 Bash 命令实现自动执行，并绕过杀毒软件文件扫描。

Trellix 指出攻击者发送的邮件附带一个 RAR 压缩包，其中包含文件名嵌入 Bash 命令的恶意文件。与常见的宏或文件内容隐藏不同，这种方法将 Base64 编码的 Bash 载荷直接放入文件名中，借助 shell 脚本在解析文件名时触发命令注入。

援引博文介绍，该技术利用了 shell 脚本在处理文件名时缺乏输入清理的漏洞，例如使用 eval 或 echo 时可能无意执行任意代码。由于杀毒引擎通常不会扫描文件名，这种方式能够绕过传统防御机制。

在被 shell 解析时，如“ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`"”恶意文件名会触发执行下载器，从外部服务器获取适配架构的 ELF 安装文件。

下载的 ELF 文件会连接至命令与控制（C2）服务器，接收加密的 VShell 载荷并在内存中解码执行。VShell 由 Go 语言编写，支持反向 shell、文件操作、进程管理、端口转发及加密通信，由于其完全在内存中运行，能有效规避基于磁盘的检测，并可攻击多种架构的 Linux 设备。