黑客正在通过ZIP文件拼接技术攻击Windows 机器，以压缩文档的形式交付恶意payload，躲避安全解决方案的检测。

这种技术利用的是 ZIP 解析器和文档管理器处理拼接ZIP文件的不同方法。这种新趋势由 Perception Point 公司发现。该公司在分析通过虚假交付通知手段实施钓鱼攻击时，发现内含木马的一个拼接的ZIP文档。

研究人员发现，该附件伪装成一个RAR文档，而该恶意软件利用 AutoIt 脚本语言将恶意任务自动化。

将恶意软件隐藏在“被攻破的”ZIP中

该攻击的第一阶段是准备，即威胁行动者创建两个或更多单独的ZIP文档，并将恶意payload 隐藏在其中的一个文档中，而其余文档无恶意内容。接着，将一份文件的二进制数据附加到另一份文件之后，将它们的内容合并到一个ZIP文档，从而将两份单独文件拼接在一起。尽管最终的结果看似是一份文件，但实际其中包含多个ZIP结构，每个结构都有自己的中心目录和结束标记。

利用 ZIP app 漏洞

攻击的下一个阶段取决于ZIP解析器如何处理拼接的文档。研究人员对 7zip、WinRAR和Windows File Explorer 进行了测试并获得不同结果：

根据该应用行为的具体情况，威胁行动者可能调整其攻击如在所拼接的第一份或第二份 ZIP 文档中隐藏恶意软件。研究人员尝试针对7Zip 通过恶意文档攻击，发现仅显示一份无害的PDF文件。不过，通过 Windows Explorer 打开该文件会披露恶意可执行文件。

研究人员表示，要防御拼接的ZIP文件，用户和组织机构应当使用支持递归解压缩的安全解决方案。一般而言，含有ZIP或其它文档文件类型的邮件应当谨慎，应当在关键环境中执行过滤器，拦截相关的文件扩展。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~