攻击者持续寻找新手段逃避安全防护,而安全公司Perception Point警示,近期兴起的ZIP文件串联技术(ZIP Concatenation)正在被攻击者积极滥用,用于规避安全检测。安全研究人员披露近期一起利用该技术的攻击事件,钓鱼邮件中附有名为SHIPPING_INV_PL_BL_pdf.rar的压缩文件,诱导受害者下载并打开。
这种攻击手法利用多个ZIP文件串联成一个文件,使恶意软件得以隐藏在文件结构中增加隐蔽性,借由不同解压缩工具的显示差异,使部分恶意内容不易被发现,并对Windows用户构成更大的威胁。
ZIP文件格式因为其结构灵活,因此成为被攻击者滥用于攻击的工具。ZIP文件的结构包含文件条目(File Entry)、中央目录(Central Directory)和中央目录结尾标记(EOCD)等部分。中央目录位于文件末端,提供快速文件检索功能,使得压缩工具可以快速定位文件,增进ZIP文件的操作效率。
但是这样的设计让攻击者有机可乘,借由利用多重中央目录的特性,将恶意内容隐藏在串联的文件中,进一步规避安全检测。安全研究人员指出,不同压缩工具对于串联ZIP文件的处理方式不同。7zip工具在处理这类文件时,仅显示第一个压缩文件的内容,并提醒用户文件末端有多余数据的警告消息。
而WinRAR则会完整显示所有串联ZIP压缩文件的内容,包括隐藏的恶意文件,这使得WinRAR成为能够显示出隐藏恶意载荷的工具,可能被用于攻击特定系统,至于Windows File Explorer则在处理串联ZIP文件的能力较弱,有时无法正确打开文件,或者仅能显示部分内容,处理串联文件的不一致性,可能导致不同结果并导致潜在安全风险。
最近一个利用ZIP文件串联手法的攻击,是攻击者通过钓鱼邮件传播SHIPPING_INV_PL_BL_pdf.rar压缩文件,其伪装成一般文件诱导受害者下载和打开。该文件是经由ZIP文件串联技术所构成的压缩文件,但攻击者刻意将文件扩展名改为.rar,使受害者误以为是RAR文件。
当受害者使用7zip打开文件时,只能看到一个一般的PDF文件,但是如果是WinRAR和Windows File Explorer用户则会看到隐藏的恶意执行文件,可能不小心打开木马程序。该木马具有自动化下载和执行其他恶意程序的能力,会在受害者系统上执行进一步恶意操作。
