今天小編分享的科技經驗:“普通”壓縮包實則隐藏惡意木馬,黑客利用“ZIP串聯檔案”攻擊,歡迎閱讀。
IT 之家 11 月 12 日消息,安全公司 Perception Point 報道,有黑客正在利用一種被稱為 "ZIP 串聯檔案 " 的復雜規避策略針對 Windows 用戶發動攻擊。
IT 之家獲悉,所謂 "ZIP 串聯檔案 " 是指黑客将多個 ZIP 壓縮檔案合并為一個壓縮包,雖然相關檔案看起來和标準壓縮包無異,但其實際上包含多個中心目錄,每個目錄指向不同的檔案集,部分壓縮軟體實際上無法處理這種檔案包,只會顯示首個包檔案中的内容,從而能夠起到 " 隐藏 " 惡意檔案效果,為黑客提供了可乘之機。
▲ "ZIP 串聯檔案 " 結構
7zip:僅顯示壓縮包中的第一個 ZIP 檔案内容,不過會提示用戶檔案末尾有多餘數據;
WinRAR:能夠完整顯示所有串接 ZIP 檔案的内容,包括隐藏的惡意檔案;
Windows 檔案資源管理器:對串接 ZIP 檔案的支持較差,可能無法正确打開檔案或僅顯示部分内容。
▲ 例如用戶使用 7zip 則無法正确顯示壓縮包中的所有檔案
安全公司表示,在其最近獲悉的一起攻擊中,黑客通過釣魚郵件傳播一項名為 SHIPPING_INV_PL_BL_pdf.rar 的壓縮檔案。該檔案偽裝成普通壓縮包,但實際上是通過 ZIP 檔案串接技術制作的壓縮檔案,黑客還故意将檔案擴展名改為 **.rar**,誤導受害者以為是 RAR 格式檔案。
▲ 黑客的釣魚郵件
如果受害者使用 7zip 解壓該檔案,僅能看到一個普通的 PDF 檔案;而使用 WinRAR 或 Windows 檔案資源管理器的用戶,則可能會看到隐藏的惡意可執行木馬檔案,如果受害者觸發相關木馬檔案,便能夠導致黑客入侵用戶設備。
