-
09/04/2020
-
110
-
1.068 bài viết
Linux Malware ẩn trong tên file RAR né mọi lớp bảo vệ truyền thống
Các chuyên gia an ninh mạng vừa phát hiện một chuỗi tấn công Linux tinh vi, bắt đầu từ những email lừa đảo chứa file RAR độc hại, nhằm phát tán backdoor mã nguồn mở VShell. Điều đặc biệt của chiến dịch này là payload không nằm trong nội dung file hay macro, mà được nhúng trực tiếp trong tên file, khai thác sơ hở trong quá trình xử lý tên file trên shell Linux. Việc sử dụng injection lệnh shell kết hợp với payload Bash được mã hóa Base64 khiến một thao tác tưởng chừng đơn giản như liệt kê file có thể trở thành cơ chế tự động thực thi malware, đánh lừa cả các hệ thống bảo vệ truyền thống.
Cụ thể, chuỗi tấn công bắt đầu với một email mạo danh khảo sát sản phẩm làm đẹp, hứa thưởng 10 RMB khi hoàn thành, kèm file đính kèm yy.rar. File này chứa một tập tin với tên độc hại kiểu
được thiết kế để thực thi lệnh khi shell đọc tên file, chứ không phải khi file được giải nén. Khi được kích hoạt, payload Base64 nhúng bên trong tên file sẽ tải xuống một ELF binary phù hợp với kiến trúc hệ thống (x86_64, i386, i686, armv7l hoặc aarch64), sau đó kết nối tới máy chủ C2 để nhận payload VShell, giải mã và thực thi hoàn toàn trong bộ nhớ, giúp malware tránh né các cơ chế phát hiện dựa trên đĩa.
VShell là một remote access tool viết bằng Go, từng được nhiều nhóm tấn công Trung Quốc sử dụng, hỗ trợ reverse shell, quản lý file và tiến trình, chuyển tiếp cổng và giao tiếp C2 mã hóa. Malware này có thể kiểm soát toàn bộ hệ thống Linux, từ server đến thiết bị nhúng, đồng thời hoạt động hoàn toàn in-memory, khiến các giải pháp antivirus truyền thống gần như bất lực. Trellix nhận định, việc chỉ một tên file trong RAR cũng có thể trở thành vũ khí thực thi lệnh tùy ý và triển khai backdoor mạnh mẽ cho thấy Linux vẫn là mục tiêu hấp dẫn, đồng thời nhấn mạnh sự tinh vi trong kỹ thuật tấn công hiện nay.
Đáng chú ý, cùng thời điểm, Picus Security phân tích một công cụ post-exploit khác nhắm Linux có tên RingReaper, khai thác framework io_uring của kernel để né các cơ chế giám sát truyền thống. Thay vì dùng các hàm system call thông thường như read, write hay connect, RingReaper sử dụng io_uring primitives để thực hiện các thao tác bất đồng bộ, giảm khả năng bị EDR phát hiện. Công cụ này có khả năng liệt kê tiến trình, session PTS, kết nối mạng, người dùng đăng nhập, thu thập thông tin từ /etc/passwd, leo thang đặc quyền qua SUID binaries và xóa dấu vết sau khi chạy, cho thấy malware Linux hiện nay không chỉ tinh vi mà còn “vô hình” với nhiều lớp bảo vệ thông thường.
Sự xuất hiện của VShell và RingReaper nhấn mạnh rằng các mối đe dọa nhắm Linux đang trở nên tinh vi, ẩn mình sâu và tránh né các lớp phòng thủ truyền thống. Người dùng và quản trị viên được khuyến nghị:
Cụ thể, chuỗi tấn công bắt đầu với một email mạo danh khảo sát sản phẩm làm đẹp, hứa thưởng 10 RMB khi hoàn thành, kèm file đính kèm yy.rar. File này chứa một tập tin với tên độc hại kiểu
Mã:
"ziliao2.pdf\{echo,<Base64-encoded command>}|{base64,-d}|bash`"`VShell là một remote access tool viết bằng Go, từng được nhiều nhóm tấn công Trung Quốc sử dụng, hỗ trợ reverse shell, quản lý file và tiến trình, chuyển tiếp cổng và giao tiếp C2 mã hóa. Malware này có thể kiểm soát toàn bộ hệ thống Linux, từ server đến thiết bị nhúng, đồng thời hoạt động hoàn toàn in-memory, khiến các giải pháp antivirus truyền thống gần như bất lực. Trellix nhận định, việc chỉ một tên file trong RAR cũng có thể trở thành vũ khí thực thi lệnh tùy ý và triển khai backdoor mạnh mẽ cho thấy Linux vẫn là mục tiêu hấp dẫn, đồng thời nhấn mạnh sự tinh vi trong kỹ thuật tấn công hiện nay.
Đáng chú ý, cùng thời điểm, Picus Security phân tích một công cụ post-exploit khác nhắm Linux có tên RingReaper, khai thác framework io_uring của kernel để né các cơ chế giám sát truyền thống. Thay vì dùng các hàm system call thông thường như read, write hay connect, RingReaper sử dụng io_uring primitives để thực hiện các thao tác bất đồng bộ, giảm khả năng bị EDR phát hiện. Công cụ này có khả năng liệt kê tiến trình, session PTS, kết nối mạng, người dùng đăng nhập, thu thập thông tin từ /etc/passwd, leo thang đặc quyền qua SUID binaries và xóa dấu vết sau khi chạy, cho thấy malware Linux hiện nay không chỉ tinh vi mà còn “vô hình” với nhiều lớp bảo vệ thông thường.
Sự xuất hiện của VShell và RingReaper nhấn mạnh rằng các mối đe dọa nhắm Linux đang trở nên tinh vi, ẩn mình sâu và tránh né các lớp phòng thủ truyền thống. Người dùng và quản trị viên được khuyến nghị:
- Thận trọng với email và file RAR từ nguồn lạ, không mở hoặc giải nén file khi chưa xác thực nguồn
- Kiểm soát chặt quyền thực thi shell script, hạn chế chạy các lệnh eval hay echo trên tên file từ bên ngoài
- Giám sát hành vi bất thường, bao gồm kết nối đến máy chủ C2 hoặc tải ELF binary từ server lạ
- Áp dụng giải pháp nâng cao giám sát hoạt động in-memory và command injection để tăng khả năng phát hiện và phòng thủ trước các kỹ thuật tấn công tinh vi.
Theo The Hacker News
Chỉnh sửa lần cuối: