黑客利用 ZIP 文件串聯(lián)技術(shù)以 Windows 計(jì)算機(jī)為目標(biāo)，在壓縮檔案中傳遞惡意負(fù)載，而目前安全解決方案卻無(wú)法檢測(cè)到它們。

該技術(shù)利用了 ZIP 解析器和存檔管理器處理串聯(lián) ZIP 文件的不同方法。有安全公司發(fā)現(xiàn)了這一新問(wèn)題，在分析利用虛假發(fā)貨通知引誘用戶的網(wǎng)絡(luò)釣魚(yú)攻擊時(shí)，發(fā)現(xiàn)了隱藏木馬的串聯(lián) ZIP 存檔。

安全研究人員發(fā)現(xiàn)，該附件偽裝成 RAR 存檔，并且惡意軟件利用 AutoIt 腳本語(yǔ)言來(lái)自動(dòng)執(zhí)行惡意任務(wù)。

網(wǎng)絡(luò)釣魚(yú)電子郵件將特洛伊木馬隱藏在串聯(lián)的 ZIP 文件中

將惡意軟件隱藏在“損壞的”ZIP 中

攻擊的第一階段是準(zhǔn)備階段，威脅者創(chuàng)建兩個(gè)或多個(gè)單獨(dú)的 ZIP 存檔，并將惡意負(fù)載隱藏在其中一個(gè)中，剩下的則保留無(wú)害的內(nèi)容。

接下來(lái)，通過(guò)將一個(gè)文件的二進(jìn)制數(shù)據(jù)附加到另一個(gè)文件，將其內(nèi)容合并到一個(gè)組合的 ZIP 存檔中，將單獨(dú)的文件連接成一個(gè)文件。盡管最終結(jié)果顯示為一個(gè)文件，但它包含多個(gè) ZIP 結(jié)構(gòu)，每個(gè)結(jié)構(gòu)都有自己的中心目錄和結(jié)束標(biāo)記。

ZIP 文件的內(nèi)部結(jié)構(gòu)

利用 ZIP 應(yīng)用程序漏洞

攻擊的下一階段依賴(lài)于 ZIP 解析器如何處理串聯(lián)檔案。安全公司測(cè)試了 7zip、WinRAR 和 Windows 文件資源管理器，得到了不同的結(jié)果：

·7zip 僅讀取第一個(gè) ZIP 存檔（這可能是良性的），并可能生成有關(guān)其他數(shù)據(jù)的警告，用戶可能會(huì)錯(cuò)過(guò)這些數(shù)據(jù)

·WinRAR 讀取并顯示這兩個(gè) ZIP 結(jié)構(gòu)，顯示所有文件，包括隱藏的惡意負(fù)載。

·Windows 文件資源管理器可能無(wú)法打開(kāi)串聯(lián)文件，或者如果使用 .RAR 擴(kuò)展名重命名，則可能僅顯示第二個(gè) ZIP 存檔。

根據(jù)應(yīng)用程序的行為，威脅者可能會(huì)微調(diào)他們的攻擊，例如將惡意軟件隱藏在串聯(lián)的第一個(gè)或第二個(gè) ZIP 存檔中。 

研究人員在嘗試 7Zip 攻擊中的惡意存檔時(shí)還發(fā)現(xiàn)，只顯示了一個(gè)無(wú)害的 PDF 文件。不過(guò)，使用 Windows 資源管理器打開(kāi)它會(huì)發(fā)現(xiàn)惡意可執(zhí)行文件。

7zip（上）和 Windows 文件資源管理器（下）打開(kāi)同一文件

為了防御串聯(lián)的 ZIP 文件，安全研究人員建議用戶和企業(yè)用戶盡可能使用支持遞歸解包的安全解決方案。一般來(lái)說(shuō)，應(yīng)謹(jǐn)慎對(duì)待附加 ZIP 或其他存檔文件類(lèi)型的電子郵件，并應(yīng)在關(guān)鍵環(huán)境中實(shí)施過(guò)濾器以阻止相關(guān)文件擴(kuò)展名。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/

來(lái)源：嘶吼專(zhuān)業(yè)版