新型黑客攻擊手法曝光：普通壓縮包暗藏木馬，ZIP串聯(lián)文件成隱患

安全公司Perception Point近日揭露，一種名為“ZIP串聯(lián)文件”的新型攻擊手段正被黑客用于針對(duì)Windows用戶進(jìn)行攻擊。這種攻擊方式利用了ZIP文件的特性，通過合并多個(gè)ZIP壓縮包來隱藏惡意文件。

據(jù)了解，“ZIP串聯(lián)文件”在外觀上與普通壓縮文件無異，但實(shí)際上卻包含了多個(gè)中心目錄，每個(gè)目錄都指向不同的文件集合。這種復(fù)雜的結(jié)構(gòu)使得部分壓縮軟件無法正確處理，僅顯示首個(gè)包文件的內(nèi)容，從而實(shí)現(xiàn)了惡意文件的隱藏。

安全專家測(cè)試發(fā)現(xiàn)，7zip軟件在解壓這類文件時(shí)，只會(huì)顯示第一個(gè)ZIP文件的內(nèi)容，并提示用戶文件末尾存在多余數(shù)據(jù)。而WinRAR則能夠完整地顯示所有串聯(lián)ZIP文件的內(nèi)容，包括被隱藏的惡意文件。Windows自帶的文件資源管理器對(duì)這類文件的支持則較差，可能導(dǎo)致無法正確打開或僅顯示部分內(nèi)容。

黑客利用這種技術(shù)，通過釣魚郵件等方式傳播偽裝成普通壓縮文件的惡意串聯(lián)ZIP文件。例如，在一起已知的攻擊中，黑客發(fā)送了一個(gè)名為“SHIPPING_INV_PL_BL_pdf.rar”的壓縮文件。盡管該文件擴(kuò)展名為.rar，但實(shí)際上是通過ZIP文件串接技術(shù)制作的，意在誤導(dǎo)受害者。

當(dāng)受害者使用不同的解壓軟件打開該文件時(shí)，所看到的內(nèi)容也會(huì)有所不同。如果使用7zip，受害者可能只會(huì)看到一個(gè)普通的PDF文件，從而忽略了潛在的威脅。然而，如果使用WinRAR或Windows文件資源管理器，受害者則可能會(huì)看到并觸發(fā)隱藏的惡意可執(zhí)行木馬文件，導(dǎo)致黑客成功入侵其設(shè)備。