RARファイル名に潜むペイロード：アンチウイルス回避するLinuxマルウェアの感染チェーンをTrellixが解説

佐々山 Tacos

2025.10.17

RARファイル名に潜むペイロード：アンチウイルス回避するLinuxマルウェアの感染チェーンをTrellixが解説

The Hacker News – Aug 22, 2025

ファイルのコンテンツやマクロではなく、ファイル名自体に直接エンコードされたペイロードによってマルウェア感染チェーンを開始させる新たな攻撃手法について、Trellixの研究者が報告。Linuxシステムを狙うこの攻撃チェーンでは、最終的にVShellというオープンソースのバックドアが配布されるという。

Trellixによれば、この攻撃は悪意あるRARアーカイブファイルの添付されたスパムメールによってスタート。攻撃者は、シェルコマンドインジェクションとBase64エンコードされたBashペイロードを巧みに利用し、シンプルなファイルリスティング操作を「自動的なマルウェア実行のトリガー」へと変えてしまうという。感染チェーンは、以下の6ステップから構成される。

①化粧品に関するアンケート調査への参加を呼びかけるメールに見せかけたフィッシングメールにより、.rarアーカイブをターゲットユーザーへ配布。このアーカイブには、悪意を持って細工されたファイル名（ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`）を持つファイルが含まれている。このファイル名は、シェルによって解釈された際にコマンドを実行するよう設計された、Bashと互換性のあるコードを含む。

②同悪性ファイル名は、シェルスクリプトまたはコマンドによって処理されるまで休眠状態を保つ。アーカイブを抽出するだけでは実行は始まらない。スクリプトまたはコマンド（for f in *、echo $f、eval、printf、またはロギングユーティリティなど）がファイル名を展開するか、評価した際にのみ実行が開始する。

③（ステージ1）Bashスクリプトの操作（for f in *など）を通じた実行がトリガーされ、埋め込まれていたBase64ダウンローダーの自動実行に繋がる。

④（ステージ2）スクリプトによりシステムアーキテクチャの検出が行われ、合致するELFローダーバイナリがダウンロードされる。対応するアーキテクチャは複数あり、x86、x64、ARM、ARM64が挙げられている。

⑤（ステージ3）ELFバイナリがハードコードされたC2に接続し、XOR暗号化されたペイロードを取得。このペイロードをXOR（鍵：0x99）を使ってインメモリで復号すると、フェイクのカーネルスレッド（[kworker/0:2]など）としてこれを実行する。

⑥最終的なペイロードであるVShellにより、完全なリモートアクセスバックドア性能が提供される。

Trellixによれば上記の手法は、シェルスクリプトに広く見受けられるシンプルながらも危険なパターン、つまり適切なサニタイゼーションが行われることなくファイル名が評価されるというパターンを利用したもの。このパターンにより、evalやechoといった単純なコマンドに任意のコードを実行させられるようになっているとされる。なお、このファイル名は手動で作成することが不可能なものであり、Pythonなど別の言語を使って作成されたか、シェルにおける入力値の検証をバイパスできる外部ツールやスクリプト（ダイレクトシステムコールやコンパイルされたコードなど）を使ってドロップされた可能性が高いという。

Trellixは、この手法が多数の従来型の防御措置を回避できる点について警鐘を鳴らしている。例えばアンチウイルスエンジンは通常ファイル名のスキャンを行わない上、静的分析ツールはエンコードされたコマンドチェーンを見逃してしまう恐れがある。また、ファイル名の実行が発生しない限り、振る舞い検知でこれを検知することは難しい可能性があるとされる。加えて、マルウェアの動きがすべてインメモリで行われ、ディスクベースの検出が回避可能である点もこの攻撃を危険なものにしている要因の1つだという。

Trellixのレポートではこの感染チェーンのさらに詳しい解説が示されているほか、VShellがGoベースのリモートアクセスツールであり、近年UNC5174を含む中国のハッキンググループに広く使用されるようになっている旨などが伝えられている。