针对女人的钓鱼邮件:试用化妆品可得10元奖励,点开即会感染Linux恶意软件
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
网络安全研究人员揭示了一种新型攻击链,通过钓鱼邮件传播名为VShell的后门程序。攻击利用恶意RAR压缩包,隐藏代码以绕过传统防御,针对Linux系统,通过shell命令注入实现远程控制。
🎯
关键要点
- 网络安全研究人员揭示了一种新型攻击链,通过钓鱼邮件传播名为VShell的后门程序。
- 攻击利用恶意RAR压缩包,文件名中隐藏代码以绕过传统防御。
- 攻击针对Linux系统,通过shell命令注入实现远程控制。
- 有效载荷直接编码在文件名中,攻击者利用shell命令注入和Base64编码的Bash有效载荷。
- 攻击流程始于包含恶意RAR压缩包的电子邮件,文件名设计用于在shell解释时执行命令。
- 钓鱼邮件伪装成美容产品调查邀请,以10元人民币报酬诱导收件人参与。
- VShell是一款基于Go语言的远程访问工具,支持多种功能,恶意软件在内存中运行,规避基于磁盘的检测。
- 攻击利用Linux宽松的执行环境,最终投递具备完全远程控制能力的强大后门VShell。
- Picus Security发布了对Linux后期利用工具RingReaper的技术分析,该工具利用io_uring框架规避传统监控工具。
- RingReaper通过异步执行操作降低恶意活动的可见性,利用io_uring枚举系统进程和用户信息,滥用SUID二进制文件提权。
❓
延伸问答
钓鱼邮件是如何传播VShell后门程序的?
钓鱼邮件通过包含恶意RAR压缩包的方式传播VShell后门程序,文件名中隐藏了恶意代码。
VShell后门程序的主要功能是什么?
VShell是一款远程访问工具,支持反向shell、文件操作、进程管理、端口转发和加密C2通信。
攻击者是如何利用文件名进行恶意代码执行的?
攻击者通过将有效载荷直接编码在文件名中,利用shell命令注入在解析时执行恶意代码。
这种攻击如何绕过传统的防御机制?
攻击利用文件名中的恶意代码,传统杀毒引擎通常不会扫描文件名,从而绕过防御。
钓鱼邮件的社交工程手法是什么?
钓鱼邮件伪装成美容产品调查邀请,以10元人民币报酬诱导用户打开恶意附件。
RingReaper工具的特点是什么?
RingReaper利用io_uring框架异步执行操作,降低恶意活动的可见性,规避传统监控工具。
➡️
