随着网络安全威胁日益严峻，黑客采用了更为复杂的规避策略，以专门针对Windows用户。这种策略被称为ZIP文件连接（ZIP file concatenation），它通过将多个ZIP文件合并成一个档案，使得安全软件更难检测到潜在的恶意内容。结果，毫无戒心的用户可能在认为自己访问的是安全压缩数据时，实际上却下载了有害文件。

这种战术使攻击者能够绕过传统的安全措施，以未被发现的方式投放恶意软件，对个人和组织造成了重大的风险。通过利用不同ZIP阅读器处理连接文件的方式，网络犯罪分子可以在档案中嵌入恶意载荷，从而避开许多标准安全工具的检测。

ZIP文件连接技术的运作原理涉及将多个ZIP档案附加到一个文件中。尽管这个组合文件看上去像是一个归档文件，实际上却包含多个中心目录，每个目录指向不同的文件集。如Perception Point所述，这一技术的关键在于各种ZIP读取工具如何解释连接结构。有些读取器可能只显示一个档案的内容，而忽略其他档案，从而允许隐藏的恶意文件不被注意。

举个例子，如果两个ZIP文件被连接在一起，一个文件包含正常内容，而另一个则藏有恶意软件，某些工具可能只会显示无害的文件。这种处理差异使得攻击者能够将他们的载荷隐藏起来，绕过依赖特定ZIP读取器的检测工具。

流行的ZIP读取器如7zip、WinRAR和Windows文件资源管理器在处理连接ZIP文件时各有不同：

• 7zip: 打开一个连接的ZIP文件时，只有第一个档案的内容会被显示。尽管7zip可能会对档案结束后的额外数据发出警告，但用户往往会忽视这一点。
• WinRAR: 与7zip不同，WinRAR读取第二个中心目录，并显示所有内容，包括任何隐藏的恶意文件。这使其在检测编码在连接档案中的威胁方面更为有效。
• Windows文件资源管理器: Windows内置的归档处理程序在处理连接ZIP时表现不佳。在某些情况下，它可能根本无法打开文件，或仅显示档案内容的一部分。这种不一致性使其在识别隐藏威胁方面不可靠。

一项最近的攻击典型地显示了威胁行为者如何利用这种技术进行恶意软件投放。在这一案例中，受害者收到了一封伪装成运送通知的网络钓鱼邮件。该邮件包含一个名为“SHIPPING_INV_PL_BL_pdf.rar”的附件，看似是一个RAR文件，但实际上是一个连接的ZIP档案。当用7zip打开时，文件显示了一个看似无害的PDF文档。然而，当使用WinRAR或Windows文件资源管理器时，隐藏的恶意可执行文件“SHIPPING_INV_PL_BL_pdf.exe”则暴露无遗。这个可执行文件被识别为变种特洛伊木马，旨在自动执行恶意任务，例如下载额外的载荷或执行勒索软件。

这种规避技术成功的关键在于其能够利用不同工具处理ZIP文件的方式差异。许多安全解决方案依赖于常见的ZIP处理工具如7zip或操作系统本地工具来扫描归档中的恶意内容。由于这些工具可能未能完全解析连接档案，它们可能完全错过隐藏的威胁。

黑客们愈发倾向于使用这种方法，因为它使他们能够有针对性地攻击依赖特定工具的用户，进而避开其他对策。例如，依赖内置工具或7zip的Windows用户可能面临更高的风险，容易成为此类攻击的受害者。

随着网络安全的威胁不断演化，用户和企业都必须保持警觉，采取额外的措施来保护自己的设备和数据。加强用户教育和提高安全意识是防止此类攻击的关键，同时，企业也应考虑投资更先进的安全检测技术，以防止这些具有针对性的攻击手段。

在应对新的网络攻击技术时，更新反病毒软件和避免点击可疑链接是至关重要的。尽管安全防护措施不断在更新，黑客们也在不断进化，寻找新的战略来攻击容易受骗的用户。对于普通用户而言，保持对最新网络安全动态的关注，并运用必要的防护措施，是保护自身信息安全的重要步骤。

这种ZIP文件连接技巧的出现，再次强调了网络安全领域的复杂性和挑战。要有效应对这种新型攻击，不仅需要技术的进步，更需要社会各界的共同努力。只有这样，我们才能在这个高度互联的数字时代，构建一个更加安全的网络环境。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！