近期，网络威胁行为者正利用一种新的恶意软件传播手段，利用ZIP文件的结构灵活性，通过拼接技术（concatenation）将恶意代码嵌入ZIP文件中，以规避安全检测。这种策略依赖于不同ZIP文件读取器和压缩管理器对拼接ZIP文件处理方式的差异，使得攻击者能够针对特定工具的用户植入恶意软件。

攻击者通过精心设计的ZIP文件结构，将恶意代码隐藏在文件的“文件项”、“中央目录”和“结束目录记录”（EOCD）中。这种灵活性增加了ZIP拼接技术的隐蔽性，使攻击者能够有效地欺骗安全工具和研究人员。攻击者利用这一技术，将恶意软件伪装成合法文件，通过电子邮件附件的形式发送给目标用户。

这种新型攻击手段对Windows用户构成了严重威胁。攻击者通过发送伪装成合法文件的恶意ZIP文件，利用了用户对RAR文件的信任和熟悉感，以及不同ZIP阅读器在处理拼接ZIP文件时的差异。例如，7zip和Windows文件资源管理器可能无法检测到隐藏在拼接ZIP文件中的恶意内容，而WinRAR则能够揭示这些隐藏的恶意载荷。这种差异使得攻击者能够针对使用特定ZIP阅读器的用户，如WinRAR用户，进行更精确的攻击。

Perception Point的安全研究人员发现了这一攻击模式，并与7zip开发者联系，以解决拼接ZIP文件的特定行为。然而，开发者确认这是有意为之的功能，不太可能改变，这为攻击者继续利用这一漏洞留下了空间。为了应对这一挑战，Perception Point开发了一种名为“递归解包器”（Recursive Unpacker）的专有反逃避算法，能够检测ZIP档案（或畸形RAR）是否被串联，并递归地提取每一层。通过递归分析每一层，确保不会遗漏任何隐藏的威胁，无论它们被隐藏得多么深。

此次攻击再次提醒我们，网络威胁行为者不断寻找新的方法来逃避检测，网络安全领域需要不断更新和改进检测技术，以保护用户免受这些复杂且隐蔽的攻击手段的侵害。Perception Point的检测技术为对抗这类攻击提供了新的解决方案，有助于揭示和防范隐藏在ZIP文件中的高级恶意软件和加载器。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)