網路安全研究人員發現了一種複雜的攻擊方法,駭客利用不同壓縮程式處理合併 ZIP 檔案的方式差異,使惡意軟體可能繞過傳統安全工具的檢測。
攻擊的技術本質
ZIP 檔案拼接是一種新穎的攻擊方式,攻擊者將多個 ZIP 壓縮包合併成單個檔案。這個合併檔案包含多箇中央目錄,每個目錄指向不同的檔案條目。這種攻擊之所以有效,關鍵在於各種壓縮程式對這些拼接檔案的解釋方式存在差異,從而產生可被惡意行為者利用的安全漏洞。
不同壓縮軟體的反應
這個漏洞在流行壓縮軟體的不同行為中表現得尤為明顯。技術使用者常用的 7zip 只讀取第一個 ZIP 壓縮包,並可能顯示關於額外資料的微妙警告。Windows 檔案資源管理器則只顯示第二個 ZIP 壓縮包,而 WinRAR 會完整讀取所有 ZIP 結構。這些不一致性為攻擊者有效隱藏惡意內容創造了機會。
實際攻擊方法
網路犯罪分子通常透過包含看似無害附件的釣魚郵件部署這種技術。拼接的 ZIP 檔案可能在一個壓縮包中包含無害的 PDF 檔案,同時在另一個壓縮包中隱藏惡意軟體。取決於受害者使用哪種軟體開啟檔案,惡意內容可能在造成危害之前都不會被發現。
安全影響和預防
這種攻擊特別令人擔憂,因為傳統檢測工具通常難以完全解析拼接的 ZIP 檔案。雖然 Perception Point 表示他們的專有解決方案可以應對這種漏洞,但最有效的預防仍然是使用者的警惕性。這包括仔細審查郵件附件並避免從未經驗證的來源下載檔案。
未來安全考慮
這一發現突顯了網路安全領域的持續挑戰,攻擊者不斷找到創新方法來利用軟體行為差異。這提醒我們,即使是熟悉的檔案格式也可能隱藏著複雜的攻擊載體,強調了改進安全工具和提高使用者意識的必要性。