近日,安全研究人員發現,惡意攻擊者開始利用一種新的 ZIP 檔案攻擊技術,將惡意軟體隱藏在多層 ZIP 檔案中,從而繞過防毒軟體的檢測。此技術涉及將多個 ZIP 檔案合併,並將惡意軟體存放在其中一個內層壓縮檔案中,使得惡意軟體更難被發現。Perception Point 的研究人員指出,三大流行的檔案壓縮工具——7zip、WinRAR 和 Windows File Explorer 對於這種多層壓縮檔案的處理方式各不相同,這影響了檢測率。
典型的 ZIP 檔案有一個中央目錄,用於告知壓縮軟體各個檔案的位置及其數據的起點和終點。然而,合併的壓縮檔案可能擁有兩個或更多的中央目錄,壓縮工具通常只會打開其中一個目錄。例如,7zip 只顯示第一個中央目錄,而 WinRAR 則會顯示第二個。相反,Windows File Explorer 直接拒絕打開合併的 ZIP 檔案(但如果將檔案重命名為 .RAR,則會打開第二個目錄)。
因此,如果惡意檔案存儲在第二個目錄中,使用 7zip 解壓縮的用戶將無法看到惡意軟體,只能看到並解壓縮第一個目錄中的無害內容。解壓縮過程中出現的唯一提示是一個警告:“在有效載荷數據結束後還有一些數據”。但如果使用 WinRAR 或 Windows File Explorer(使用合併的 .RAR 檔案)解壓,則可以看到並解壓惡意軟體。
這一設計可能是基於某些壓縮軟體的常見使用場景。包括開發者和網絡安全專家在內的技術用戶通常偏好使用 7zip,因此當他們打開通過釣魚郵件發送的可疑檔案時,可能根本看不到惡意程序,使得攻擊輕易得手。相反,一些非技術用戶則直接在 Windows File Explorer 或 WinRAR 中打開檔案。由於檔案是通過釣魚郵件傳遞的,這些非技術用戶成為了明顯的攻擊目標。當他們打開被感染的檔案時,這些檔案可能會連接到互聯網,下載勒索軟體、銀行木馬和其他更高級的惡意軟體。
這並不是首次有惡意攻擊利用壓縮軟體的特性。例如,先前安全研究人員發現了一種“ZIP 炸彈”攻擊,一個 46MB 的壓縮檔案可以展開成一個 4.5PB 的巨大資料夾,可能會導致打開它的系統崩潰。這說明雖然安全軟體是網絡安全的重要組成部分,但識別可疑檔案仍然是用戶的首道防線。
