11 月 12 日消息，安全公司 Perception Point 報道，有黑客正在利用一種被稱為“ZIP?串聯(lián)文件”的復雜規(guī)避策略針對?Windows?用戶發(fā)動攻擊。

所謂“ZIP?串聯(lián)文件”是指黑客將多個?ZIP?壓縮文件合并為一個壓縮包，雖然相關(guān)文件看起來和標準壓縮包無異，但其實際上包含多個中心目錄，每個目錄指向不同的文件集，部分壓縮軟件實際上無法處理這種文件包，只會顯示首個包文件中的內(nèi)容，從而能夠起到“隱藏”惡意文件效果，為黑客提供了可乘之機。

▲?“ZIP?串聯(lián)文件”結(jié)構(gòu)

• 7zip：僅顯示壓縮包中的第一個 ZIP 文件內(nèi)容，不過會提示用戶文件末尾有多余數(shù)據(jù)；
• WinRAR：能夠完整顯示所有串接 ZIP 文件的內(nèi)容，包括隱藏的惡意文件；
• Windows 文件資源管理器：對串接 ZIP 文件的支持較差，可能無法正確打開文件或僅顯示部分內(nèi)容。

▲ 例如用戶使用 7zip 則無法正確顯示壓縮包中的所有文件

安全公司表示，在其最近獲悉的一起攻擊中，黑客通過釣魚郵件傳播一項名為 SHIPPING_INV_PL_BL_pdf.rar 的壓縮文件。該文件偽裝成普通壓縮包，但實際上是通過 ZIP 文件串接技術(shù)制作的壓縮文件，黑客還故意將文件擴展名改為 **.rar**，誤導受害者以為是 RAR 格式文件。

▲ 黑客的釣魚郵件

如果受害者使用 7zip 解壓該文件，僅能看到一個普通的 PDF 文件；而使用 WinRAR 或 Windows 文件資源管理器的用戶，則可能會看到隱藏的惡意可執(zhí)行木馬文件，如果受害者觸發(fā)相關(guān)木馬文件，便能夠?qū)е潞诳腿肭钟脩粼O(shè)備。