今天小编分享的科技经验:“普通”压缩包实则隐藏恶意木马,黑客利用“ZIP串联檔案”攻击,欢迎阅读。
IT 之家 11 月 12 日消息,安全公司 Perception Point 报道,有黑客正在利用一种被称为 "ZIP 串联檔案 " 的复杂规避策略针对 Windows 用户发动攻击。
IT 之家获悉,所谓 "ZIP 串联檔案 " 是指黑客将多个 ZIP 压缩檔案合并为一个压缩包,虽然相关檔案看起来和标准压缩包无异,但其实际上包含多个中心目录,每个目录指向不同的檔案集,部分压缩軟體实际上无法处理这种檔案包,只会显示首个包檔案中的内容,从而能够起到 " 隐藏 " 恶意檔案效果,为黑客提供了可乘之机。
▲ "ZIP 串联檔案 " 结构
7zip:仅显示压缩包中的第一个 ZIP 檔案内容,不过会提示用户檔案末尾有多余数据;
WinRAR:能够完整显示所有串接 ZIP 檔案的内容,包括隐藏的恶意檔案;
Windows 檔案资源管理器:对串接 ZIP 檔案的支持较差,可能无法正确打开檔案或仅显示部分内容。
▲ 例如用户使用 7zip 则无法正确显示压缩包中的所有檔案
安全公司表示,在其最近获悉的一起攻击中,黑客通过钓鱼邮件传播一项名为 SHIPPING_INV_PL_BL_pdf.rar 的压缩檔案。该檔案伪装成普通压缩包,但实际上是通过 ZIP 檔案串接技术制作的压缩檔案,黑客还故意将檔案扩展名改为 **.rar**,误导受害者以为是 RAR 格式檔案。
▲ 黑客的钓鱼邮件
如果受害者使用 7zip 解压该檔案,仅能看到一个普通的 PDF 檔案;而使用 WinRAR 或 Windows 檔案资源管理器的用户,则可能会看到隐藏的恶意可执行木马檔案,如果受害者触发相关木马檔案,便能够导致黑客入侵用户设备。
