圖片來源：Bleeping Computer

一直以來，攻擊者不停在尋找新的手段來散播惡意軟件。

同時又不會被防病毒掃描軟件和電子郵件安全網(wǎng)關(guān)檢測到。

近期，一項新的網(wǎng)絡(luò)釣魚活動實現(xiàn)了此目的。

包含兩個EOCD的ZIP文件

近日，一起冒充USCO Logistics出口操作專家運送消息的郵件大量散布，實際上這是一種新型的垃圾郵件，而其中的附件ZIP文件經(jīng)過特制之后能夠繞過電子郵件的安全網(wǎng)關(guān)來分發(fā)惡意的RAT。

一般來說，每個ZIP文件必須有且只有一個End of central directory record(EOCD) ，即目錄結(jié)束標識。

該標識存在整個ZIP文件的結(jié)尾，用于標記壓縮的目錄數(shù)據(jù)的結(jié)束。

研究人員之所以發(fā)現(xiàn)這個可疑的文檔，是因為其文件大小大于未壓縮的內(nèi)容。

在對這個文件進行檢查時，研究人員發(fā)現(xiàn)ZIP壓縮包中包含兩個不同的結(jié)構(gòu)，每個結(jié)構(gòu)都有自己的EOCD記錄標識。

這很明顯是與一般情況相違背的。

由此研究人員推斷，ZIP文件是經(jīng)過特殊設(shè)計的，才會包含兩個存檔結(jié)構(gòu)。

第一個ZIP結(jié)構(gòu)使用一個order.jpg文件做誘餌，它只是一個無害的圖像文件。但是，第二個ZIP結(jié)構(gòu)包含一個名為SHIPPING_MX00034900_PL_INV_pdf.exe的文件，它實際上是一個遠程訪問木馬(RAT)。

而攻擊者這么做的目的則是為了繞過電子郵件的安全網(wǎng)關(guān)，使其只能看到作為誘餌的圖像文件。

不同的解壓結(jié)果

此外，研究人員發(fā)現(xiàn)，使用不同的應(yīng)用程序解壓ZIP文件時，會出現(xiàn)不同的結(jié)果，這也就表明每個解壓軟件對ZIP的處理方式有所不同。

例如，使用Windows內(nèi)置的ZIP解壓程序會顯示ZIP文件無效，因此并不會提取該惡意軟件。

使用7-Zip進行測試時，它會提醒我們ZIP文件存在問題，但依然能夠提取文件，只不過提取出來的只有jpg圖像文件。

在使用WinRAR提取文件時，并未發(fā)出警告，同時還提取出了惡意軟件。

在測試了眾多軟件之后，研究人員發(fā)現(xiàn)只有某些版本的PowerArchiver，WinRAR和較舊的7-Zip才能完整提取惡意可執(zhí)行文件。

這表明，盡管這項技術(shù)十分新穎，能夠繞過電子郵件的安全掃描，但其發(fā)揮作用的惡意負載目前還不會輕易被提取，因此受感染的受害者會比預(yù)期少很多。

* 本文由看雪編輯 LYA 編譯自 Bleeping Computer，轉(zhuǎn)載請注明來源及作者。

* 原文鏈接：

https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/

總結(jié)

以上是生活随笔為你收集整理的可疑文件_特制的ZIP文件能够绕过电子邮件安全网关的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。