黑客使用 ZIP 文件串联来逃避检测

黑客瞄准 Windows 机器，使用 ZIP 文件连接技术在压缩档案中传递恶意负载，而安全解决方案却无法检测到它们。

该技术利用 ZIP 解析器和档案管理器处理连接 ZIP 文件的不同方法。

Perception Point发现了这一新趋势，他们在分析一次以虚假发货通知引诱用户的网络钓鱼攻击时，发现了一个隐藏着木马的串联 ZIP 存档。

研究人员发现，该附件被伪装成 RAR 存档，并且恶意软件利用 AutoIt 脚本语言自动执行恶意任务。

钓鱼电子邮件将木马隐藏在串联的 ZIP 文件中,来源：Perception Point

将恶意软件隐藏在“损坏的” ZIP 文件中

攻击的第一阶段是准备阶段，威胁组织创建两个或更多单独的 ZIP 存档，并将恶意负载隐藏在其中一个中，其余部分则保留无害内容。

接下来，通过将一个文件的二进制数据附加到另一个文件，将单独的文件连接成一个文件，并将其内容合并为一个组合的 ZIP 存档。

虽然最终结果显示为一个文件，但它包含多个 ZIP 结构，每个结构都有自己的中心目录和结束标记。

ZIP 文件的内部结构，来源：Perception Point

利用 ZIP 应用程序漏洞

攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。Perception Point 对 7zip、WinRAR 和 Windows 文件资源管理器进行了测试，结果不同：

7zip 仅读取第一个 ZIP 存档（可能是良性的），并可能生成有关其他数据的警告，而用户可能会错过。

WinRAR读取并显示两个 ZIP 结构，显示所有文件，包括隐藏的恶意负载。

Windows 文件资源管理器可能无法打开连接的文件，或者如果使用 .RAR 扩展名重命名，则可能仅显示第二个 ZIP 存档。

根据应用程序的行为，威胁组织可能会微调他们的攻击，例如将恶意软件隐藏在串联的第一个或第二个 ZIP 存档中。

Perception Point 研究人员尝试了 7Zip 攻击中的恶意存档，发现只显示了一个无害的 PDF 文件。但使用 Windows 资源管理器打开它时，却发现了恶意可执行文件。

7zip（上）和 Windows 文件资源管理器（下）打开同一个文件。来源：Perception Point

为了防御连接的 ZIP 文件，Perception Point 建议用户和组织使用支持递归解包的安全解决方案。

一般来说，应该对附加 ZIP 或其他存档文件类型的电子邮件保持怀疑态度，并且应在关键环境中实施过滤器以阻止相关的文件扩展名。

技术报告：https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/

新闻链接：

https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/

讲述普通人能听懂的安全故事