據(jù)Cyber Security News消息，網(wǎng)絡(luò)犯罪分子正在利用一種被稱為 ZIP 串聯(lián)文件的復(fù)雜規(guī)避策略來專門針對 Windows 用戶。此方法將多個(gè) ZIP 文件合并到一個(gè)存檔中，使安全軟件更難檢測惡意內(nèi)容。

通過利用不同的 ZIP 閱讀器處理串聯(lián)文件的方式，攻擊者可以在文檔中嵌入惡意負(fù)載，從而逃避許多標(biāo)準(zhǔn)安全工具的檢測。

ZIP 串聯(lián)文件是指將多個(gè) ZIP 壓縮文件合并為一個(gè)文件。 雖然合并后的文件看起來是一個(gè)歸檔文件，但它實(shí)際上包含多個(gè)中心目錄，每個(gè)目錄指向不同的文件集。

根據(jù) Perception Point 的說法，這種技術(shù)的關(guān)鍵在于各種 ZIP 閱讀器如何解釋連接結(jié)構(gòu)。 有些閱讀器可能只顯示一個(gè)壓縮包的內(nèi)容，而忽略其他壓縮包的內(nèi)容，從而使隱藏的惡意文件不被發(fā)現(xiàn)。

例如，如果兩個(gè) ZIP 文件串聯(lián)在一起，其中一個(gè)包含良性內(nèi)容，另一個(gè)則藏有惡意軟件，某些工具只會(huì)顯示無害文件。 這種處理方式上的差異使攻擊者得以隱藏其有效載荷，躲避依賴于特定 ZIP 閱讀器的檢測工具。

時(shí)下主流的 ZIP 閱讀器（如 7zip、WinRAR 和 Windows 文件資源管理器）以不同的方式處理串聯(lián)的 ZIP 文件：

7zip：使用 7zip 打開串聯(lián)的 ZIP 文件時(shí)，僅顯示第一個(gè)存檔的內(nèi)容。雖然 7zip 可能會(huì)在存檔結(jié)束后發(fā)出有關(guān)額外數(shù)據(jù)的警告，但這經(jīng)常被用戶忽略。

WinRAR：與 7zip 不同，WinRAR 讀取第二個(gè)中央目錄并顯示所有內(nèi)容，包括任何隱藏的惡意文件。這使得它能夠更有效地檢測嵌入在串聯(lián)檔案中的威脅。

Windows 文件資源管理器：Windows 的內(nèi)置存檔處理程序難以處理串聯(lián)的 ZIP。在某些情況下，它可能無法完全打開文件或僅顯示存檔的部分內(nèi)容。這種不一致使得檢測隱藏的威脅不可靠。

報(bào)告稱，已看到有攻擊者向受害者發(fā)送了一封偽裝成發(fā)貨通知的網(wǎng)絡(luò)釣魚電子郵件。該電子郵件包含一個(gè)名為“SHIPPING_INV_PL_BL_pdf.rar”的 RAR 文件，但實(shí)際上是一個(gè)串聯(lián)的 ZIP 存檔。

釣魚郵件

使用 7zip 打開時(shí)，文件僅顯示一個(gè)看起來正常的 PDF 文檔。但是，當(dāng)使用 WinRAR 或 Windows 文件資源管理器打開時(shí)，隱藏的惡意可執(zhí)行文件“SHIPPING_INV_PL_BL_pdf.exe”就被暴露了出來。

此可執(zhí)行文件被確定為特洛伊木馬惡意軟件的變體，旨在自動(dòng)執(zhí)行惡意任務(wù)，例如下載額外的有效負(fù)載或執(zhí)行勒索軟件。

這種規(guī)避技術(shù)的成功在于它能夠利用各種工具處理 ZIP 文件的差異，許多安全解決方案也依靠常見的 ZIP 處理程序（如 7zip 或本機(jī)操作系統(tǒng)工具）來掃描檔案中的惡意內(nèi)容。

因此，黑客越來越多地使用這種方法針對依賴某些工具的特定用戶， 同時(shí)逃避其他工具的檢測。