資安研究團隊 Perception Point 最近發現駭客採用全新手法,透過 ZIP 檔案串接技術(ZIP file concatenation)傳送惡意程式,成功規避多數資安防護機制的偵測。
這項技術利用不同 ZIP 解析器與壓縮檔管理工具處理串接檔案的方式差異,使惡意程式得以隱藏其中。
根據 Perception Point 的調查,研究團隊在分析一起以虛假貨運通知為誘餌的釣魚攻擊時,發現攻擊者使用串接式 ZIP 壓縮檔隱藏木馬程式。該惡意附件偽裝成 RAR 壓縮檔,並運用 AutoIt 指令碼語言來自動執行惡意任務。
攻擊者首先準備兩個以上的獨立 ZIP 壓縮檔,將惡意程式藏在其中一個檔案中,其他則填入無害內容。接著,攻擊者將這些獨立檔案的二進位資料串接在一起,合併成單一的 ZIP 壓縮檔。雖然最終檔案看似單一檔案,實際上卻包含多個 ZIP 結構,每個結構都有自己的中央目錄和結束標記。
更值得注意的是,不同壓縮檔工具對串接檔案的處理方式各異:
- 7zip 僅讀取第一個 ZIP 壓縮檔(可能是無害的),雖然會顯示額外資料警告,但使用者可能忽略
- WinRAR 會讀取並顯示所有 ZIP 結構,包括隱藏的惡意程式
- Windows 檔案總管可能無法開啟串接檔案,或在重新命名為 .RAR 副檔名後僅顯示第二個 ZIP 壓縮檔
Perception Point 建議企業採用支援遞迴解壓縮的資安解決方案,以防範此類攻擊。同時,對於含有 ZIP 或其他壓縮檔格式的電子郵件應提高警覺,並在重要環境中實施相關副檔名的阻擋機制。
本文轉載自bleepingcomputer。