Нова заплаха за Linux: Зловреден код се крие в самото име на файл

Киберсигурността все по-често ни напомня, че атаките срещу компютърни системи стават все по-изобретателни. Последното откритие на изследователи от компанията Trellix показва изключително необичаен метод за разпространение на зловреден софтуер, който засяга Linux системи.

Как започва атаката?

Всичко тръгва от едно наглед безобидно имейл съобщение. Жертвата получава покана да попълни анкета за козметични продукти, като за благодарност ѝ се обещават малка парична награда (около 10 китайски юана). На пръв поглед – нищо подозрително.

Към имейла обаче е прикачен RAR архив (файл yy.rar). В него се съдържа един файл с доста странно име. То изглежда като документ, но всъщност в самото име е вграден скрит код, написан по такъв начин, че Linux може да го разчете като команда.

Пример:

ziliao2.pdf`{echo,<код на Base64>}|{base64,-d}|bash`

Как работи трикът?

Обикновено вирусите са „скрити“ вътре в самите файлове или в прикачени макроси. Тук обаче номерът е друг – зловредният код се намира директно в името на файла.

Когато този файл се извлече от архива, нищо не се случва. Опасността идва, когато някой скрипт или команда в системата се опита да прочете името. Тогава Linux го интерпретира като команда и автоматично стартира скрития зловреден код.

Причината е, че много скриптове в Linux не проверяват достатъчно внимателно имената на файловете (т.нар. недостатъчна филтрация). Това позволява на нападателя да „инжектира“ команди, които системата изпълнява, мислейки, че просто обработва име на файл.

Какво следва след изпълнението?

Щом кодът се задейства, той стартира скрит Base64 payload, който изтегля друг файл от външен сървър. Това е специален зловреден софтуер, съобразен с архитектурата на устройството – било то x86, ARM или друга.

След като се инсталира, този софтуер се свързва с команден сървър (C2), от който получава инструкции. Така в системата попада VShell – мощен бекдор, написан на езика Go. Той позволява на хакерите:

• да получат достъп до системата от разстояние,
• да управляват процеси и файлове,
• да пренасочват трафик,
• да извършват операции напълно незабелязано, тъй като работи в паметта и не оставя следи на диска.

Защо това е опасно?

• Техниката е изключително трудна за засичане, защото антивирусните програми не сканират имената на файловете.
• Атаката може да засегне голямо разнообразие от Linux устройства – от сървъри до рутери и IoT устройства.
• Кодът работи изцяло в оперативната памет, което го прави още по-незабележим.

Нови заплахи: RingReaper

Докато Trellix предупреждава за VShell, друг екип от Picus Security разкрива още една опасност – инструмент, наречен RingReaper. Той използва нови възможности на Linux ядрото (io_uring) за скрито изпълнение на команди.

Това му позволява:

• да следи процеси и мрежови връзки,
• да събира информация за потребители,
• да използва уязвимости за повишаване на права,
• и накрая – да изтрие следите си.

Тази техника затруднява традиционните системи за защита, защото избягва стандартните функции, които обикновено се наблюдават от антивируси и EDR решения.

Как да се предпазим?

• Бъдете изключително внимателни с прикачени файлове от непознати имейли, дори да изглеждат безобидни.
• Използвайте надеждни антивирусни и EDR решения, които могат да засичат и по-нестандартни атаки.
• При работа с Linux – избягвайте да използвате скриптове, които директно обработват имена на файлове без проверка.
• Следете новините за киберсигурност – нови методи за атака се появяват постоянно.

Заключение:
Случаят с VShell показва колко креативни могат да бъдат хакерите – дори едно „обикновено“ име на файл може да се превърне в оръжие. За потребителите и администраторите това е поредното напомняне, че вниманието към детайла е ключово, а добрата защита започва от критично мислене при работа с непознати файлове.