VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một chuỗi tấn công mới sử dụng email lừa đảo để phát tán một cửa hậu mã nguồn mở có tên VShell.

"Chuỗi lây nhiễm phần mềm độc hại dành riêng cho Linux này bắt đầu bằng một email rác chứa tệp lưu trữ RAR độc hại", nhà nghiên cứu Sagar Bade của Trellix cho biết trong một bài viết kỹ thuật.


"Phần mềm độc hại không được ẩn bên trong nội dung tệp hoặc macro, mà được mã hóa trực tiếp trong chính tên tệp. Thông qua việc sử dụng khéo léo lệnh shell injection và các payload Bash được mã hóa Base64, kẻ tấn công biến một thao tác liệt kê tệp đơn giản thành một trình kích hoạt thực thi phần mềm độc hại tự động."

Công ty an ninh mạng này cho biết thêm, kỹ thuật này lợi dụng một mô hình đơn giản nhưng nguy hiểm thường thấy trong các tập lệnh shell, phát sinh khi tên tệp được đánh giá với quá trình khử trùng không đầy đủ, do đó khiến một lệnh tầm thường như eval hoặc echo tạo điều kiện cho việc thực thi mã tùy ý.

Hơn nữa, kỹ thuật này còn mang lại lợi thế bổ sung là vượt qua các biện pháp phòng thủ truyền thống, vì các công cụ chống vi-rút thường không quét tên tệp.

Điểm khởi đầu của cuộc tấn công là một email chứa tệp nén RAR, trong đó có một tệp có tên tệp được tạo ra một cách độc hại: "ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`"

Cụ thể, tên tệp này chứa mã tương thích với Bash, được thiết kế để thực thi các lệnh khi được shell biên dịch. Cần lưu ý rằng việc trích xuất tệp từ tệp nén không kích hoạt việc thực thi. Thay vào đó, nó chỉ xảy ra khi một tập lệnh hoặc lệnh shell cố gắng phân tích cú pháp tên tệp.

Một khía cạnh quan trọng khác cần xem xét ở đây là không thể tạo tên tệp theo cách thủ công với cú pháp này, nghĩa là nó có thể được tạo bằng ngôn ngữ khác hoặc bị xóa bằng một công cụ hoặc tập lệnh bên ngoài bỏ qua xác thực đầu vào của shell, Trellix cho biết.

Điều này, đến lượt nó, dẫn đến việc thực thi một trình tải xuống được mã hóa Base64 nhúng, sau đó lấy từ máy chủ bên ngoài một tệp nhị phân ELF cho kiến trúc hệ thống phù hợp (x86_64, i386, i686, armv7l hoặc aarch64). Về phần mình, tệp nhị phân này khởi tạo giao tiếp với máy chủ chỉ huy và điều khiển (C2) để lấy tải trọng VShell đã mã hóa, giải mã và thực thi nó trên máy chủ.

Trellix cho biết các email lừa đảo được ngụy trang dưới dạng lời mời tham gia khảo sát về sản phẩm làm đẹp, dụ dỗ người nhận bằng phần thưởng tiền mặt (10 Nhân dân tệ) nếu hoàn thành khảo sát.

"Điều quan trọng là email bao gồm tệp đính kèm RAR ('yy.rar'), mặc dù không hướng dẫn rõ ràng người dùng mở hoặc giải nén tệp đó", Bade giải thích. "Góc độ kỹ thuật xã hội rất tinh vi: Người dùng bị phân tâm bởi nội dung khảo sát, và sự hiện diện của tệp đính kèm có thể bị nhầm lẫn với tài liệu hoặc tệp dữ liệu liên quan đến khảo sát."

VShell là một công cụ truy cập từ xa dựa trên Go đã được các nhóm tin tặc Trung Quốc sử dụng rộng rãi trong những năm gần đây, bao gồm UNC5174, hỗ trợ reverse shell, thao tác tệp, quản lý quy trình, chuyển tiếp cổng và giao tiếp C2 được mã hóa.

Điều khiến cuộc tấn công này trở nên nguy hiểm là phần mềm độc hại hoạt động hoàn toàn trong bộ nhớ, tránh bị phát hiện dựa trên đĩa, chưa kể nó có thể nhắm mục tiêu vào nhiều thiết bị Linux.

"Phân tích này nêu bật một sự phát triển nguy hiểm trong việc phát tán phần mềm độc hại Linux, nơi một tên tệp đơn giản được nhúng trong kho lưu trữ RAR có thể được sử dụng để thực thi các lệnh tùy ý", Trellix cho biết. "Chuỗi lây nhiễm khai thác việc tiêm lệnh trong các vòng lặp shell, lạm dụng môi trường thực thi cho phép của Linux và cuối cùng phát tán phần mềm độc hại VShell cửa hậu mạnh mẽ, có khả năng điều khiển toàn bộ hệ thống từ xa."

Sự phát triển này diễn ra sau khi Picus Security công bố một phân tích kỹ thuật về một công cụ hậu khai thác tập trung vào Linux có tên là RingReaper, tận dụng khuôn khổ io_uring của nhân Linux để vượt qua các công cụ giám sát truyền thống. Hiện vẫn chưa rõ ai là người đứng sau phần mềm độc hại này.

"Thay vì gọi các hàm tiêu chuẩn như đọc, ghi, nhận, gửi hoặc kết nối, RingReaper sử dụng io_uringprimitives (ví dụ: io_uring_prep_*) để thực hiện các thao tác tương đương một cách không đồng bộ", nhà nghiên cứu bảo mật Sıla Özeren Hacıoğlu cho biết. "Phương pháp này giúp bỏ qua các cơ chế phát hiện dựa trên hook và giảm khả năng hiển thị hoạt động độc hại trong dữ liệu đo từ xa thường được thu thập bởi các nền tảng EDR."

RingReaper sử dụng io_uring để liệt kê các quy trình hệ thống, phiên PTS đang hoạt động, kết nối mạng và người dùng đã đăng nhập, đồng thời giảm thiểu dấu vết và tránh bị phát hiện. Nó cũng có khả năng thu thập thông tin người dùng từ tệp "/etc/passwd", lạm dụng các tệp nhị phân SUID để leo thang đặc quyền và xóa dấu vết của chính nó sau khi thực thi.

"Nó khai thác giao diện I/O không đồng bộ hiện đại của hạt nhân Linux, io_uring, để giảm thiểu sự phụ thuộc vào các lệnh gọi hệ thống thông thường mà các công cụ bảo mật thường xuyên theo dõi hoặc hook", Picus cho biết.