Los entornos de Linux, considerados desde hace mucho tiempo, los bastiones de seguridad, se enfrentan a una nueva amenaza sofisticada que desafía los supuestos tradicionales sobre la seguridad del sistema operativo.
Una campaña de malware recientemente descubierta explota un vector de ataque ingenioso que armaba los nombres de archivo RAR Archive para entregar la puerta trasera de Vshell, lo que demuestra cómo los atacantes están evolucionando más allá de las técnicas de explotación convencionales para dirigir los patrones de secuencia de comandos y los metadatos de archivos.
El ataque comienza con un correo electrónico de spam aparentemente inocuo disfrazado de invitación a la encuesta de productos de belleza, que ofrece una pequeña recompensa monetaria para atraer a las víctimas.
A diferencia de las campañas de phishing tradicionales que se centran en el robo de credenciales o la suplantación de la marca, este enfoque de ingeniería social explota la curiosidad del usuario mientras ofrece un archivo adjunto de archivo de rar malicioso.
El archivo contiene un archivo con un nombre de archivo especialmente elaborado que sirve como una carga útil latente, esperando ejecutar cuando se procesa por operaciones de shell comunes.
Lo que hace que este ataque sea particularmente insidioso es su explotación de patrones peligrosos que prevalecen en los scripts de Shell Linux.
Investigadores de trellix identificado que el nombre de archivo malicioso contiene un código compatible con BASH integrado diseñado para ejecutar comandos cuando el shell lo interpreta durante las operaciones de rutina, como la enumeración del directorio o el listado de archivos.
El nombre de archivo en sí actúa como un disparador de carga útil, evitando las defensas de seguridad tradicionales que generalmente se centran en el contenido del archivo en lugar de los metadatos.
El nombre de archivo armado sigue una estructura compleja que aprovecha los principios de inyección de comando de shell.
Cuando se extrae, el archivo revela un archivo llamado ziliao2.pdf {echo, kgn1cmwglwzzu0wglw0xodagahr0cdovlzq3ljk4lje5nc42mdo4mdg0l3nsd3x8d 2dldcatvde4mcatcsbodhrwoi8vndcuotgumtk0ljywoJgwodqvc2x3kxxzacag} _ {base64, -d} _bash, que no se puede crear manualmente a través de la entrada de shell normal debido a que sus caracteres especiales se interpretan como sintaxis de comando.
Es probable que este nombre de archivo se haya creado utilizando herramientas externas o lenguajes de programación para evitar la validación de entrada de shell.
Mecanismo de infección y cadena de ejecución
La infección se desencadena cuando los scripts de shell procesan el nombre de archivo malicioso a través de operaciones comunes como para f en *; evalúe “echo $ f”; hecho.
Flujo de infección por malware (Fuente – Trellix)
Existen múltiples vectores de activación, incluidas las operaciones de listado de archivos con funciones Eval, encontrar comandos con parámetros EVS y procesamiento de XARGS con expansión de shell.
La carga útil integrada utiliza un enfoque de varias etapas donde el nombre de archivo se evalúa a un comando de base 64 canalizado directamente a Bash.
Una vez activado, la etapa inicial descarga un script de segunda etapa que detecta la arquitectura del sistema y obtiene el binario ELF apropiado para los sistemas X86, X64, ARM o ARM64.
La carga útil final, VShell, funciona completamente en la memoria usando Fexecve () para evitar la detección basada en disco mientras se disfraza de hilos de núcleo legítimos como (Kworker/0: 2).
Esta sofisticada técnica de evasión demuestra la evolución del malware dirigido por Linux hacia operaciones más sigilosas y residentes en la memoria que desafían los paradigmas de seguridad tradicionales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
