😻猫娘😻
频道主
RAR 压缩包文件名藏毒,解压触发攻击即中招
为什么它难查?传统安全产品往往聚焦“文件内容、宏脚本或二进制特征”,而这里的恶意逻辑藏在“文件名 → Shell 展开 → 进程”这条链路上。只要环境里存在对文件名做 echo、eval、花括号/通配符展开或拼接再执行的习惯,就可能在没有双击、没有 shebang、没有可执行位的情况下完成攻击启动。这不仅规避了静态扫描,也让基于“落地文件”溯源的取证更困难。
下面这条“新型 Linux 攻击链”值得运维与安全同学关注。研究人员披露:攻击者正通过钓鱼邮件投递携带恶意 RAR 压缩包的附件,利用“文件名里嵌入 Bash 命令”实现自动执行,从而下发开源后门 VShell,并成功绕过依赖文件内容扫描的杀毒/网关检测。
事情的起点是看似普通的垃圾邮件。受害者下载并解压 RAR 后,恶意并不藏在文件内容里,而是“写在了文件名上”:攻击者把 base64 编码的 Bash 片段塞进条目名称,一旦管理员或脚本在服务器上做常见操作——比如用 for f in *、eval "echo $f"、某些会对文件名做扩展/拼接的管道命令,Shell 会把文件名当成指令链来解释执行,随即拉取并启动内存型的 VShell 植入体,实现远控、端口转发、文件操作等能力。研究者给出的样例名大致如下:{echo,...}_{base64,-d}_bash,可见其通过 花括号展开 + base64 解码 + 管道 拼装出执行载荷,几乎“无文件”落地。因为 AV 只扫“文件内容”,而真正的武器在“文件名”,于是侦测被轻松绕过。
VShell 是什么?它是一个开源的 Linux 远控后门/工具集(Go 语言实现),可提供反连、文件上传下载、进程管理、端口转发、内存驻留与加密 C2 通信等常见能力,已被多起攻击活动采用。过往情报显示,包括被业内标记为 UNC5174 的威胁团伙也曾在行动中依赖 VShell 及其他开源组件,借此降低归因难度。如今它与“文件名武器化”的投递链条结合,隐蔽性与首发命中率显著提升。
攻击链复盘可以归纳为三步:首先是 钓鱼邮件投递 RAR,诱导下载与解压;随后通过 恶意文件名触发 Shell 注入与自动执行,在日常维护脚本、批处理或交互式终端里“悄然自启”;最后落地 VShell 植入体以内存方式运行,对主机进行持久化与远控。多家安全媒体与研究机构在 2025 年 8 月下旬先后通报了该技术细节,强调“载荷不在文件里,而在文件名里”这一关键特性,并给出了时间线与战术要点。
国内外舆情与技术社群在过去几天快速跟进:The Hacker News 首次集中报道,随后 SC Media、行业博客与安全从业者在分析文章中补充了 在脚本习惯、CI/CD 任务、批量管控脚本 中的高危触发点,并提示 DevOps 团队与安全运营“别把文件名当纯字符串”。一些技术帖还给出了对抗思路与 PoC 复现要点,帮助蓝队验证自身暴露面。
风险面与可能目标方面,最易被击中的并非普通桌面,而是 脚本化程度高的 Linux 服务器与运维终端:批处理脚本遍历文件、仓库清理脚本、收件箱自动解压/归档作业、日志/样本解析流水线,以及含有 eval/echo $(...) 等不安全片段的“老脚本”。在供应链与云原生环境中,这类“自动化处理后触发执行”的链路一旦被恶意文件名勾住,就可能把后门送进内网。
从威胁情报角度看,VShell 的“开源 + 低签名 + 组合技”让它成为多方青睐的“现成积木”。今年 4 月的报道就提到某国家级对手在行动中频繁拉用开源远控与 WebSockets 组件,以降低成本并增加可替代性。如今再叠加“文件名武器化”的投递技巧,蓝队若仍只盯文件内容与哈希,将很难抢占发现先机。
这不是“解压即中招”的玄学,而是 把恶意塞进文件名,再让系统或脚本“帮忙把它当命令跑了”。如果你的 Linux 环境里还在随手 for f in *; do echo $f | sh; done 这样的写法,请立刻改掉。把文件名当“非信任输入”,永远先转义、再处理。
- 下载图片
- 复制图片
2025-08-26
浏览110
前沿资讯
登录后评论
1
评论
分享