游乐游手机版
首页/科技数码/文章详情

Linux恶意文件伪装:RAR压缩包内“武器”文件名如何绕过杀毒检测?

时间:2025-08-26 16:34
8 月 25 日消息,网络安全公司 Trellix 昨日(8 月 24 日)披露,近期网络上出现了针对 Linux 的新型攻击链,通过钓鱼邮件传播开源后门 VShell。攻击利用恶意 RAR 压缩

8 月 25 日消息,网络安全公司 Trellix 昨日(8 月 24 日)披露,近期网络上出现了针对 Linux 的新型攻击链,通过钓鱼邮件传播开源后门 VShell。攻击利用恶意 RAR 压缩包中文件名嵌入的 Bash 命令实现自动执行,并绕过杀毒软件文件扫描。

Trellix 指出攻击者发送的邮件附带一个 RAR 压缩包,其中包含文件名嵌入 Bash 命令的恶意文件。与常见的宏或文件内容隐藏不同,这种方法将 Base64 编码的 Bash 载荷直接放入文件名中,借助 shell 脚本在解析文件名时触发命令注入。

援引博文介绍,该技术利用了 shell 脚本在处理文件名时缺乏输入清理的漏洞,例如使用 eval 或 echo 时可能无意执行任意代码。由于杀毒引擎通常不会扫描文件名,这种方式能够绕过传统防御机制。

在被 shell 解析时,如“ziliao2.pdf`{echo,}|{base64,-d}|bash`"”恶意文件名会触发执行下载器,从外部服务器获取适配架构的 ELF 安装文件。

下载的 ELF 文件会连接至命令与控制(C2)服务器,接收加密的 VShell 载荷并在内存中解码执行。VShell 由 Go 语言编写,支持反向 shell、文件操作、进程管理、端口转发及加密通信,由于其完全在内存中运行,能有效规避基于磁盘的检测,并可攻击多种架构的 Linux 设备。

来源:https://www.ithome.com/0/877/765.htm
上一篇Redmi K90系列或全系标配潜望长焦,SM8850新机有望取消0809马达 下一篇蔚来萤火虫“游牧美拉德”特别版限量发售333台,纯电小车新选择
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
LiblibAI云端WebUI降低AI绘画部署门槛
科技数码 · 2026-07-02

LiblibAI云端WebUI降低AI绘画部署门槛

LiblibAI在线WebUI的核心优势在于——只需通过浏览器即可流畅运行Stable Diffusion,无需自行搭建本地环境。云端直接处理运算,模型即选即试,大幅降低了AI绘画的创作门槛。对于轻量创作和模型快速测试来说,体验相当顺畅,但用户仍需重视数据隐私保护和版权合规等问题。 过去使用Stab

微软因用户不安叫停Edge浏览器AI历史搜索功能
科技数码 · 2026-07-02

微软因用户不安叫停Edge浏览器AI历史搜索功能

微软紧急暂停Edge浏览器AI历史搜索功能,该功能因被用户吐槽“令人不安”而暂缓部署。尽管微软强调所有AI处理在设备端完成且数据不上传云端,但用户仍不信任。此举与WindowsK2计划减少功能堆砌的理念一致。

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场
科技数码 · 2026-07-02

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场

【CNMO科技消息】近日,红魔游戏平板5 Pro正式发布。这款平板从定位上就明确瞄准“极致游戏”体验,外观方面带来了一个重磅亮点——首次引入RGB水冷散热系统,背部那条可视化的水路通道,配合纯平透明背板设计,核心配置信息一览无余,科技感十足。 图源网络 屏幕方面同样表现突出。一块9 06英寸OLED

杭州全国首所机器人学校首批30台机器人入学
科技数码 · 2026-07-02

杭州全国首所机器人学校首批30台机器人入学

30台机器人整齐列队,有的刚从生产线卸下,机械零件还带着崭新的“工业气息”;有的已搭载运动控制模块,能稳健地小跑、跳跃几下。它们来自不同制造工厂,外形与功能各有千秋,但此刻都拥有了同一个身份——杭州机器人学校的第一批入学新生。 6月30日,杭州经信正式发布:由浙江大学机器人研究院、浙江省质量科学研究

美国计划发射航天器托举天文卫星
科技数码 · 2026-07-02

美国计划发射航天器托举天文卫星

就在最近,NASA公布了一项非常果断的干预计划——他们定于6月30日实施一次“卫星维修任务”,派遣一台名为“连接”号的机器人服务卫星,为一颗超期服役的天文卫星延长运行寿命。这颗卫星是“尼尔·格雷尔斯·斯威夫特天文台”,其轨道高度正在不断衰减,如果不进行干预,今年年底前很可能会坠入地球大气层并烧毁。