Los investigadores de ciberseguridad han arrojado luz sobre una nueva prisión de ataque que emplea correos electrónicos de phishing para entregar una puerta trasera de código destapado llamado Vshell.
La «prisión de infección de malware específica de Linux que comienza con un correo electrónico spam con un archivo de archivo rar bellaco», dijo el investigador de Trellix Sagar Bade en una redacción técnica.
«La carga útil no está oculta adentro del contenido del archivo o en una macro, está codificada directamente en el nombre de archivo en sí. Mediante el uso inteligente de la inyección de comando de shell y las cargas de bash codificadas en Base64, el atacante convierte una simple operación de relación de archivos en un desencadenante automotriz de ejecución de ejecución de malware».
La técnica, agregada la compañía de seguridad cibernética, aprovecha un patrón simple pero peligroso comúnmente observado en los scripts de shell que surge cuando los nombres de archivos se evalúan con desinfección inadecuada, lo que provoca un comando trivial como Eval o Echo para allanar la ejecución del código improcedente.
Por otra parte, la técnica ofrece la superioridad adicional de evitar las defensas tradicionales, ya que los motores antivirus generalmente no escanean los nombres de archivos.
El punto de partida del ataque es un mensaje de correo electrónico que contiene un archivo RAR, que incluye un archivo con un nombre de archivo bellaco: «Ziliao2.pdf` {Echo,
Específicamente, el nombre del archivo incorpora un código compatible con BASH que está diseñado para ejecutar comandos cuando el shell lo interpreta. Vale la pena señalar que simplemente extraer el archivo del archivo no activa la ejecución. Más acertadamente, ocurre solo cuando un script o comando de shell intenta analizar el nombre del archivo.
Otro aspecto importante a considerar aquí es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se creó usando otro idioma o se dejó caer usando una utensilio externa o script que evita la firmeza de entrada de shell, dijo Trellix.
Esto, a su vez, lleva a la ejecución de un descargador codificado Base64 incrustado, que luego recupera de un servidor extranjero un binario ELF para la edificación del sistema apropiada (x86_64, i386, i686, Armv7l o Aarch64). El binario, por su parte, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil Vshell cifrada, decodificar y ejecutarla en el host.
Trellix dijo que los correos electrónicos de phishing están disfrazados como una invitación para una sondeo de productos de belleza, atrayendo a los destinatarios con una premio monetaria (10 RMB) por completarla.
«Crucialmente, el correo electrónico incluye un archivo adjunto de archivo RAR (‘yy.rar’), a pesar de que no instruye explícitamente al beneficiario que lo refugio o extraiga», explicó Bade. «El ángulo de ingeniería social es sutil: el beneficiario se distrae con el contenido de la sondeo, y la presencia del archivo adjunto podría confundirse con un documento o archivo de datos relacionado con la sondeo».
Vshell es una utensilio de camino remoto basada en GO que los grupos de piratería chinos utilizaron ampliamente en los últimos abriles, incluida UNC5174, que admite Shell inverso, operaciones de archivos, diligencia de procesos, reenvío de puertos y comunicaciones C2 cifradas.
Lo que hace que este ataque sea peligroso es que el malware opera completamente en memoria, evitando la detección basada en disco, sin mencionar que puede apuntar a una amplia gradación de dispositivos Linux.
«Este examen destaca una cambio peligrosa en la entrega de malware de Linux, donde un simple nombre de archivo integrado en un archivo de RAR puede ser armado para ejecutar comandos arbitrarios», dijo Trellix. «La prisión de infección explota la inyección de comando en bucles de shell, abusa del entorno de ejecución permisiva de Linux y, en última instancia, ofrece un potente malware Vshell Vshell capaz de control remoto completo sobre el sistema».
El avance se produce cuando PICUS Security lanzó un examen técnico de una utensilio posterior al usufructuario centrada en Linux denominado RingreAper que aprovecha el situación Io_uring del kernel de Linux para eludir las herramientas de monitoreo tradicionales. Actualmente no se sabe quién está detrás del malware.
«En circunstancia de invocar funciones tipificado, como acertar, escribir, escribir, despachar o conectar, ringreAper emplea io_uringprimitives (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de forma asincrónica», dijo el investigador de seguridad Sıla özeren Hacıoğlu. «Este método ayuda a evitar los mecanismos de detección basados en habilidad y reduce la visibilidad de la actividad maliciosa en la telemetría comúnmente reunida por las plataformas EDR».
RingreAper utiliza io_uring para enumerar los procesos del sistema, las sesiones pseudo-terminales activas (PTS), las conexiones de red y los usuarios iniciados, al tiempo que reducen su huella y evitan la detección. Incluso es capaz de compilar información del beneficiario del archivo «/etc/passwd», abusando de los binarios Suid para una subida de privilegios y borrando rastros de sí mismo posteriormente de la ejecución.
«Explota la moderna interfaz de E/S asíncrona del kernel de Linux, Io_uring, para minimizar la dependencia de las llamadas del sistema convencionales que las herramientas de seguridad con frecuencia monitorean o ganconan», dijo Picus.
