11 月 12 日消息，安全公司 Perception Point 報(bào)道，有黑客正在利用一種被稱為“ZIP 串聯(lián)文件”的復(fù)雜規(guī)避策略針對(duì) Windows 用戶發(fā)動(dòng)攻擊。

所謂“ZIP?串聯(lián)文件”是指黑客將多個(gè)?ZIP?壓縮文件合并為一個(gè)壓縮包，雖然相關(guān)文件看起來(lái)和標(biāo)準(zhǔn)壓縮包無(wú)異，但其實(shí)際上包含多個(gè)中心目錄，每個(gè)目錄指向不同的文件集，部分壓縮軟件實(shí)際上無(wú)法處理這種文件包，只會(huì)顯示首個(gè)包文件中的內(nèi)容，從而能夠起到“隱藏”惡意文件效果，為黑客提供了可乘之機(jī)。

▲ “ZIP 串聯(lián)文件”結(jié)構(gòu)

• 7zip：僅顯示壓縮包中的第一個(gè) ZIP 文件內(nèi)容，不過(guò)會(huì)提示用戶文件末尾有多余數(shù)據(jù)；
• WinRAR：能夠完整顯示所有串接 ZIP 文件的內(nèi)容，包括隱藏的惡意文件；
• Windows 文件資源管理器：對(duì)串接 ZIP 文件的支持較差，可能無(wú)法正確打開(kāi)文件或僅顯示部分內(nèi)容。

▲ 例如用戶使用 7zip 則無(wú)法正確顯示壓縮包中的所有文件

安全公司表示，在其最近獲悉的一起攻擊中，黑客通過(guò)釣魚(yú)郵件傳播一項(xiàng)名為 SHIPPING_INV_PL_BL_pdf.rar 的壓縮文件。該文件偽裝成普通壓縮包，但實(shí)際上是通過(guò) ZIP 文件串接技術(shù)制作的壓縮文件，黑客還故意將文件擴(kuò)展名改為 **.rar**，誤導(dǎo)受害者以為是 RAR 格式文件。

▲ 黑客的釣魚(yú)郵件

如果受害者使用 7zip 解壓該文件，僅能看到一個(gè)普通的 PDF 文件；而使用 WinRAR 或 Windows 文件資源管理器的用戶，則可能會(huì)看到隱藏的惡意可執(zhí)行木馬文件，如果受害者觸發(fā)相關(guān)木馬文件，便能夠?qū)е潞诳腿肭钟脩粼O(shè)備。