據(jù)Cyber Security News消息，網(wǎng)絡犯罪分子正在利用一種被稱為 ZIP 串聯(lián)文件的復雜規(guī)避策略來專門針對 Windows 用戶。此方法將多個 ZIP 文件合并到一個存檔中，使安全軟件更難檢測惡意內(nèi)容。

通過利用不同的 ZIP 閱讀器處理串聯(lián)文件的方式，攻擊者可以在文檔中嵌入惡意負載，從而逃避許多標準安全工具的檢測。

ZIP 串聯(lián)文件是指將多個 ZIP 壓縮文件合并為一個文件。 雖然合并后的文件看起來是一個歸檔文件，但它實際上包含多個中心目錄，每個目錄指向不同的文件集。

根據(jù) Perception Point 的說法，這種技術的關鍵在于各種 ZIP 閱讀器如何解釋連接結構。 有些閱讀器可能只顯示一個壓縮包的內(nèi)容，而忽略其他壓縮包的內(nèi)容，從而使隱藏的惡意文件不被發(fā)現(xiàn)。

例如，如果兩個 ZIP 文件串聯(lián)在一起，其中一個包含良性內(nèi)容，另一個則藏有惡意軟件，某些工具只會顯示無害文件。 這種處理方式上的差異使攻擊者得以隱藏其有效載荷，躲避依賴于特定 ZIP 閱讀器的檢測工具。

時下主流的 ZIP 閱讀器（如 7zip、WinRAR 和 Windows 文件資源管理器）以不同的方式處理串聯(lián)的 ZIP 文件：

7zip：使用 7zip 打開串聯(lián)的 ZIP 文件時，僅顯示第一個存檔的內(nèi)容。雖然 7zip 可能會在存檔結束后發(fā)出有關額外數(shù)據(jù)的警告，但這經(jīng)常被用戶忽略。

WinRAR：與 7zip 不同，WinRAR 讀取第二個中央目錄并顯示所有內(nèi)容，包括任何隱藏的惡意文件。這使得它能夠更有效地檢測嵌入在串聯(lián)檔案中的威脅。

Windows 文件資源管理器：Windows 的內(nèi)置存檔處理程序難以處理串聯(lián)的 ZIP。在某些情況下，它可能無法完全打開文件或僅顯示存檔的部分內(nèi)容。這種不一致使得檢測隱藏的威脅不可靠。

報告稱，已看到有攻擊者向受害者發(fā)送了一封偽裝成發(fā)貨通知的網(wǎng)絡釣魚電子郵件。該電子郵件包含一個名為“SHIPPING_INV_PL_BL_pdf.rar”的 RAR 文件，但實際上是一個串聯(lián)的 ZIP 存檔。

釣魚郵件

使用 7zip 打開時，文件僅顯示一個看起來正常的 PDF 文檔。但是，當使用 WinRAR 或 Windows 文件資源管理器打開時，隱藏的惡意可執(zhí)行文件“SHIPPING_INV_PL_BL_pdf.exe”就被暴露了出來。

此可執(zhí)行文件被確定為特洛伊木馬惡意軟件的變體，旨在自動執(zhí)行惡意任務，例如下載額外的有效負載或執(zhí)行勒索軟件。

這種規(guī)避技術的成功在于它能夠利用各種工具處理 ZIP 文件的差異，許多安全解決方案也依靠常見的 ZIP 處理程序（如 7zip 或本機操作系統(tǒng)工具）來掃描檔案中的惡意內(nèi)容。

因此，黑客越來越多地使用這種方法針對依賴某些工具的特定用戶， 同時逃避其他工具的檢測。