新型Linux攻击利用RAR文件名注入Bash命令传播VShell后门

网络安全研究人员近日发现了一种针对 Linux 系统的新型攻击方式，该攻击通过电子邮件传播一种名为 VShell 的开源后门程序。此次攻击利用了 RAR 压缩包中文件名中嵌入的 Bash 命令，实现了恶意代码的自动执行，并可绕过传统杀毒软件的检测。

攻击者通过发送附带 RAR 压缩包的钓鱼邮件进行传播。与以往常见的通过文件内容隐藏恶意代码的方式不同，攻击者将经过 Base64 编码的 Bash 命令直接嵌入文件名中。当系统使用 shell 脚本对文件名进行解析时，就可能触发命令注入，从而执行恶意代码。

这种方法利用了 shell 在处理特殊文件名时缺乏充分输入过滤的漏洞。例如，当使用 eval 或 echo 命令处理文件名时，可能会意外执行其中包含的恶意指令。由于大多数杀毒软件不会对文件名内容进行深度扫描，此类攻击方式具有较高的隐蔽性。

以“ziliao2.pdf\`{echo,\ }|{base64,-d}|bash\`”为例，当系统对该文件名进行解析时，将激活下载器模块，从远程服务器获取适配当前系统架构的 ELF 安装程序。

下载的 ELF 文件随后会与攻击者的命令控制服务器建立连接，接收经过加密的 VShell 载荷，并在内存中解密后执行。该后门程序由 Go 语言开发，具备反向 shell、文件管理、进程控制、端口转发以及加密通信等多项功能。由于其运行完全驻留于内存中，不留下持久化文件痕迹，因此难以被基于磁盘的检测机制发现，同时可影响多种架构的 Linux 设备。