برمجية خبيثة تستهدف لينكس عبر أسماء ملفات RAR خبيثة تتجاوز أنظمة الحماية

برمجية خبيثة تستهدف لينكس عبر أسماء ملفات RAR خبيثة تتجاوز أنظمة الحماية
برمجية خبيثة تستهدف لينكس عبر أسماء ملفات RAR خبيثة تتجاوز أنظمة الحماية
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن سلسلة هجوم جديدة تعتمد على رسائل تصيد إلكتروني لنشر باب خلفي مفتوح المصدر يُعرف باسم VShell.

ووفقًا لتحليل أجراه الباحث Sagar Bade من شركة Trellix، تبدأ الإصابة الخاصة بأنظمة Linux عبر بريد عشوائي يحتوي على ملف RAR خبيث. غير أن الحمولة الخبيثة ليست مدمجة في محتوى الملف أو عبر ماكرو، بل في اسم الملف نفسه، حيث يستغل المهاجمون حقن أوامر في الـ Shell باستخدام شيفرات Base64 لجعل مجرد استعراض أسماء الملفات يؤدي إلى تنفيذ تلقائي للبرمجية الضارة.

استغلال ثغرات أسماء الملفات لتجاوز الحماية

توضح Trellix أن هذه التقنية تستغل نمطًا خطيرًا شائعًا في سكربتات Shell، حيث يتم تمرير أسماء الملفات دون تعقيم كافٍ، ما يحول أوامر بسيطة مثل eval أو echo إلى وسيلة لتنفيذ تعليمات عشوائية.

الأكثر خطورة أن هذه الآلية تتجاوز أنظمة الدفاع التقليدية، إذ إن محركات مكافحة الفيروسات لا تفحص أسماء الملفات عادة.

ويتمثل السيناريو في رسالة بريد تتضمن ملفًا مضغوطًا باسم yy.rar يحتوي على ملف اسمه:

ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`

هذا الاسم يتضمن تعليمات متوافقة مع Bash تنفذ أوامر بمجرد تفسيرها من قِبل الـ Shell، مع الإشارة إلى أن مجرد استخراج الملف لا يؤدي للتنفيذ، بل يحدث الأمر عند محاولة معالجة الاسم عبر سكربت أو أمر.

كما أوضح الباحثون أن إنشاء اسم ملف بهذه البنية غير ممكن يدويًا، ما يعني أنه تم توليده بأداة أو لغة برمجية خارجية تتجاوز آليات التحقق التقليدية.

من التصيد إلى تثبيت VShell

بمجرد تنفيذ التعليمات، يتم تنزيل محمل خبيث مشفر بـ Base64 يجلب ملفًا ثنائيًا ELF يتناسب مع بنية النظام (x86_64، i386، i686، armv7l، أو aarch64). هذا الملف يتصل بخادم C2 لاستقبال حمولة VShell وفك تشفيرها وتنفيذها.

الهجوم يبدأ برسائل تصيد مقنعة على شكل دعوة للمشاركة في استطلاع عن منتجات تجميل مع وعد بمكافأة مالية (10 يوان). ورغم أن الرسالة لا تطلب صراحة فتح المرفق، إلا أن وجوده يوحي بأنه ملف متعلق بالاستبيان، فيسهل خداع الضحايا.

يُعد VShell أداة وصول عن بُعد مبنية بلغة Go، استخدمتها مجموعات قرصنة صينية مثل UNC5174، وتتيح تنفيذ أوامر عكسية، إدارة الملفات والعمليات، إعادة توجيه المنافذ، والاتصال المشفر بخوادم التحكم. الأخطر أنها تعمل بالكامل في الذاكرة دون الاعتماد على التخزين، ما يعقد اكتشافها، فضلًا عن استهدافها نطاقًا واسعًا من أجهزة لينكس.

تطور خطير: أداة RingReaper

يتزامن هذا الاكتشاف مع إعلان شركة Picus Security عن تحليل تقني لأداة ما بعد الاستغلال تركز على لينكس تُدعى RingReaper، والتي تستغل إطار عمل io_uring في نواة لينكس لتفادي أنظمة المراقبة التقليدية.

وبحسب الباحثة Sıla Özeren Hacıoğlu، لا تعتمد RingReaper على الدوال الشائعة مثل read أو write أو connect، بل تستخدم واجهات io_uring لتنفيذ عمليات مكافئة بشكل غير متزامن، ما يحد من إمكانية رصدها من قبل أنظمة EDR.

الأداة قادرة على:

  • استكشاف العمليات النشطة وجلسات PTS

  • تتبع الاتصالات الشبكية والمستخدمين المسجلين

  • جمع بيانات المستخدم من ملف /etc/passwd

  • استغلال ملفات SUID لتصعيد الصلاحيات

  • محو آثارها بعد التنفيذ

بهذا الأسلوب، تستغل RingReaper واجهة الإدخال/الإخراج الحديثة في لينكس لتقليل الاعتماد على استدعاءات النظام المراقبة عادة، ما يمنح المهاجمين قدرة أكبر على التخفي والاستمرارية.

وسوم
محمد وهبى
محمد وهبى
المقالات: 450

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة