IT 之家 11 月 12 日消息,安全公司 Perception Point 報道,有黑客正在利用一種被稱爲 "ZIP 串聯文件 " 的複雜規避策略針對 Windows 用戶發動攻擊。
IT 之家獲悉,所謂 "ZIP 串聯文件 " 是指黑客将多個 ZIP 壓縮文件合并爲一個壓縮包,雖然相關文件看起來和标準壓縮包無異,但其實際上包含多個中心目錄,每個目錄指向不同的文件集,部分壓縮軟件實際上無法處理這種文件包,隻會顯示首個包文件中的内容,從而能夠起到 " 隐藏 " 惡意文件效果,爲黑客提供了可乘之機。
▲ "ZIP 串聯文件 " 結構
7zip:僅顯示壓縮包中的第一個 ZIP 文件内容,不過會提示用戶文件末尾有多餘數據;
WinRAR:能夠完整顯示所有串接 ZIP 文件的内容,包括隐藏的惡意文件;
Windows 文件資源管理器:對串接 ZIP 文件的支持較差,可能無法正确打開文件或僅顯示部分内容。
▲ 例如用戶使用 7zip 則無法正确顯示壓縮包中的所有文件
安全公司表示,在其最近獲悉的一起攻擊中,黑客通過釣魚郵件傳播一項名爲 SHIPPING_INV_PL_BL_pdf.rar 的壓縮文件。該文件僞裝成普通壓縮包,但實際上是通過 ZIP 文件串接技術制作的壓縮文件,黑客還故意将文件擴展名改爲 **.rar**,誤導受害者以爲是 RAR 格式文件。
▲ 黑客的釣魚郵件
如果受害者使用 7zip 解壓該文件,僅能看到一個普通的 PDF 文件;而使用 WinRAR 或 Windows 文件資源管理器的用戶,則可能會看到隐藏的惡意可執行木馬文件,如果受害者觸發相關木馬文件,便能夠導緻黑客入侵用戶設備。
