Linux Malware Delivered via Malicious RAR Filenames Evades Antivirus Detection

Techniques d’évasion furtives pour les malwares Linux

Une nouvelle méthode d’attaque cible les systèmes Linux via des courriels d’hameçonnage contenant une archive au format RAR. L’infection est déclenchée par un nom de fichier spécialement conçu, intégrant du code Bash encodé en Base64. Ce code s’exécute lors de l’analyse du nom du fichier par le système, contournant ainsi les antivirus qui ne scannent généralement pas ces métadonnées.

L’enchaînement typique implique un courriel incitant à répondre à une enquête, accompagné d’une archive RAR. À l’intérieur, un fichier possède un nom de format “ziliao2.pdf{echo,<commande_encodée>}|{base64,-d}|bash”. Ce nom, non modifiable manuellement, contient des instructions pour télécharger et exécuter un chargeur malveillant. Celui-ci récupère ensuite une charge utile VShell, un outil d’accès à distance, qui communique avec un serveur de commande et de contrôle (C2) pour obtenir des commandes et des données.

VShell, développé en Go, est utilisé par des groupes malveillants chinois et permet un contrôle à distance, incluant la gestion des processus, le transfert de fichiers, et des communications C2 chiffrées. L’attaque est particulièrement insidieuse car le malware opère entièrement en mémoire, rendant la détection sur disque difficile, et il peut cibler une large gamme d’architectures Linux.

Un autre développement inquiétant concerne RingReaper, un outil d’après-exploitation qui exploite le framework io_uring du noyau Linux. Cette technique permet d’éviter les mécanismes de surveillance traditionnels en exécutant des opérations de manière asynchrone, contournant ainsi les outils de sécurité qui se basent sur le crochetage des appels système standards. RingReaper peut énumérer les processus, les sessions actives, les connexions réseau, et collecter des informations utilisateur, tout en effaçant ses traces.

Points clés :

• Méthode d’infection : Utilisation de noms de fichiers malveillants dans des archives RAR via des courriels d’hameçonnage.
• Évasion : Contournement des antivirus par l’exécution via des noms de fichiers plutôt que par le contenu.
• Charge utile : Principalement VShell, un backdoor Go pour le contrôle à distance, et potentiellement RingReaper utilisant io_uring.
• Opération furtive : Exécution en mémoire pour éviter la détection sur disque.
• Ingénierie sociale : Courriels déguisés en enquêtes pour inciter à l’ouverture d’archives.

Vulnérabilités (non spécifiées avec des CVE dans l’article) :

• L’exploitation de la mauvaise gestion des noms de fichiers dans certains scripts shell peut permettre l’injection de commandes.
• L’abus de l’environnement d’exécution permissif de Linux pour l’exécution de code arbitraire.

Recommandations :

• Prudence accrue avec les pièces jointes de courriels, même si elles semblent innocentes.
• Vérification attentive des noms de fichiers suspects, bien que cette technique exploite une vulnérabilité qui n’est pas évidente au premier coup d’œil.
• Maintien des systèmes et des outils de sécurité à jour pour détecter les nouvelles méthodes d’attaque.
• Sensibilisation aux techniques d’ingénierie sociale utilisées par les attaquants.
• Surveillance des logs système et des activités réseau pour détecter des comportements anormaux.

Source