新型黑客攻擊手法曝光：普通壓縮包暗藏木馬，ZIP串聯(lián)文件成隱患

【ITBEAR】安全公司Perception Point近日揭露，一種名為“ZIP串聯(lián)文件”的新型攻擊手段正被黑客用于針對Windows用戶進行攻擊。這種攻擊方式利用了ZIP文件的特性，通過合并多個ZIP壓縮包來隱藏惡意文件。

據(jù)了解，“ZIP串聯(lián)文件”在外觀上與普通壓縮文件無異，但實際上卻包含了多個中心目錄，每個目錄都指向不同的文件集合。這種復(fù)雜的結(jié)構(gòu)使得部分壓縮軟件無法正確處理，僅顯示首個包文件的內(nèi)容，從而實現(xiàn)了惡意文件的隱藏。

安全專家測試發(fā)現(xiàn)，7zip軟件在解壓這類文件時，只會顯示第一個ZIP文件的內(nèi)容，并提示用戶文件末尾存在多余數(shù)據(jù)。而WinRAR則能夠完整地顯示所有串聯(lián)ZIP文件的內(nèi)容，包括被隱藏的惡意文件。Windows自帶的文件資源管理器對這類文件的支持則較差，可能導(dǎo)致無法正確打開或僅顯示部分內(nèi)容。

黑客利用這種技術(shù)，通過釣魚郵件等方式傳播偽裝成普通壓縮文件的惡意串聯(lián)ZIP文件。例如，在一起已知的攻擊中，黑客發(fā)送了一個名為“SHIPPING_INV_PL_BL_pdf.rar”的壓縮文件。盡管該文件擴展名為.rar，但實際上是通過ZIP文件串接技術(shù)制作的，意在誤導(dǎo)受害者。

當(dāng)受害者使用不同的解壓軟件打開該文件時，所看到的內(nèi)容也會有所不同。如果使用7zip，受害者可能只會看到一個普通的PDF文件，從而忽略了潛在的威脅。然而，如果使用WinRAR或Windows文件資源管理器，受害者則可能會看到并觸發(fā)隱藏的惡意可執(zhí)行木馬文件，導(dǎo)致黑客成功入侵其設(shè)備。