黑客利用 ZIP 文件串聯(lián)技術(shù)以 Windows 計算機為目標，在壓縮檔案中傳遞惡意負載，而目前安全解決方案卻無法檢測到它們。

該技術(shù)利用了 ZIP 解析器和存檔管理器處理串聯(lián) ZIP 文件的不同方法。有安全公司發(fā)現(xiàn)了這一新問題，在分析利用虛假發(fā)貨通知引誘用戶的網(wǎng)絡釣魚攻擊時，發(fā)現(xiàn)了隱藏木馬的串聯(lián) ZIP 存檔。

安全研究人員發(fā)現(xiàn)，該附件偽裝成 RAR 存檔，并且惡意軟件利用 AutoIt 腳本語言來自動執(zhí)行惡意任務。

網(wǎng)絡釣魚電子郵件將特洛伊木馬隱藏在串聯(lián)的 ZIP 文件中

將惡意軟件隱藏在“損壞的”ZIP 中

攻擊的第一階段是準備階段，威脅者創(chuàng)建兩個或多個單獨的 ZIP 存檔，并將惡意負載隱藏在其中一個中，剩下的則保留無害的內(nèi)容。

接下來，通過將一個文件的二進制數(shù)據(jù)附加到另一個文件，將其內(nèi)容合并到一個組合的 ZIP 存檔中，將單獨的文件連接成一個文件。盡管最終結(jié)果顯示為一個文件，但它包含多個 ZIP 結(jié)構(gòu)，每個結(jié)構(gòu)都有自己的中心目錄和結(jié)束標記。

ZIP 文件的內(nèi)部結(jié)構(gòu)

利用 ZIP 應用程序漏洞

攻擊的下一階段依賴于 ZIP 解析器如何處理串聯(lián)檔案。安全公司測試了 7zip、WinRAR 和 Windows 文件資源管理器，得到了不同的結(jié)果：

·7zip 僅讀取第一個 ZIP 存檔（這可能是良性的），并可能生成有關其他數(shù)據(jù)的警告，用戶可能會錯過這些數(shù)據(jù)

·WinRAR 讀取并顯示這兩個 ZIP 結(jié)構(gòu)，顯示所有文件，包括隱藏的惡意負載。

·Windows 文件資源管理器可能無法打開串聯(lián)文件，或者如果使用 .RAR 擴展名重命名，則可能僅顯示第二個 ZIP 存檔。

根據(jù)應用程序的行為，威脅者可能會微調(diào)他們的攻擊，例如將惡意軟件隱藏在串聯(lián)的第一個或第二個 ZIP 存檔中。 

研究人員在嘗試 7Zip 攻擊中的惡意存檔時還發(fā)現(xiàn)，只顯示了一個無害的 PDF 文件。不過，使用 Windows 資源管理器打開它會發(fā)現(xiàn)惡意可執(zhí)行文件。

7zip（上）和 Windows 文件資源管理器（下）打開同一文件

為了防御串聯(lián)的 ZIP 文件，安全研究人員建議用戶和企業(yè)用戶盡可能使用支持遞歸解包的安全解決方案。一般來說，應謹慎對待附加 ZIP 或其他存檔文件類型的電子郵件，并應在關鍵環(huán)境中實施過濾器以阻止相關文件擴展名。

參考及來源：https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/

來源：嘶吼專業(yè)版