网络安全公司 Trellix 昨日(8 月 24 日)披露,近期网络上出现了针对 Linux 的新型攻击链,通过钓鱼邮件传播开源后门 VShell。攻击利用恶意 RAR 压缩包中文件名嵌入的 Bash 命令实现自动执行,并绕过杀毒软件文件扫描。
该技术利用了 shell 脚本在处理文件名时缺乏输入清理的漏洞,例如使用 eval 或 echo 时可能无意执行任意代码。由于杀毒引擎通常不会扫描文件名,这种方式能够绕过传统防御机制。
在被 shell 解析时,如“ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`"”恶意文件名会触发执行下载器,从外部服务器获取适配架构的 ELF 安装文件。
来源:IT之家
