什麼！解壓縮軟體也淪陷？利用ZIP檔散布惡意軟體-head

　　日常生活中，我們經常會遇到需要處理壓縮檔案的情況，無論是下載的軟體、收取電子郵件附件，或是朋友傳來的照片和影片，許多檔案都會以壓縮格式發送給我們。這時，解壓縮軟體就像是一把“鑰匙”，幫助我們打開這些“鎖住”的檔案，讓我們取出需要的資料。

　　想像一下，如果你收到了朋友發來含有許多照片和文件的壓縮檔案，但卻無法直接打開，這時就需要一款解壓縮軟體來幫助你。“解壓縮”這個動作其實就像是拆開一個禮物盒，裡面藏著各種你需要的東西。常見的壓縮格式有ZIP、RAR和7Z等，這些格式就像是不同大小的包裹，當你使用解壓縮軟體時，它們會變成一堆可以直接使用的檔案。

　　舉例來說，WinRAR就是最常見的解壓縮工具之一。假設你收到了一個包含大量音樂檔案的RAR壓縮包，當你右鍵並選擇“解壓到...”後，這些音樂檔案就會從壓縮檔還原回來，讓你欣賞。如果需要，還能把這些檔案重新壓縮，方便傳送給別人，這樣一來，你就可以隨時輕鬆管理資料。

　　另外，7-Zip也是另一款非常受歡迎的解壓縮軟體。它就像是一個多才多藝的工具，不僅能解壓幾乎所有格式的檔案，還能進行高效的壓縮。比方說，你可能需要把一些大的報告和文件發送給同事，7-Zip可以將這些檔案壓縮成一個小包裹，這樣傳送起來就更快，也更省空間。而且，它是免費的，對於經常需要處理大量檔案的人來說，這是一個不可或缺的好幫手。

　　當然，如果都沒有安裝上述解壓縮軟體，Windows的檔案總管，也可以簡單的對ZIP檔作簡單的解壓縮處理。

　　總之，解壓縮軟體不僅是我們日常工作和學習中的必備工具，也是生活中不可缺少的數位助手。而在近期確發現駭客利用ZIP壓縮檔案來規避偵測，散布惡意軟體的資安事件發生，讓我們來了解一下整個過程及手法。

了解ZIP檔案內容結構

　　ZIP檔案經常被拿來一次壓縮很多個檔案，對於減小文件大小和增加傳輸效率起了很大作用。其結構的靈活性也成為規避偵測，傳播惡意軟體的良好載體。探究ZIP檔的工作原理是了解駭客如何規避偵測的關鍵。

　　以下說明ZIP檔串接的結構：

　　● 檔案記錄(藍色部分)：這些是ZIP檔中壓縮的實際檔案或資料夾。每個區塊都包含元數據，例如檔案名稱、大小和修改日期。

　　● 中央目錄(紫色區塊，前段深紫色部分)：整個ZIP檔的索引，位於檔案的末端。列出所有文件內容存在檔案中的位置，開啟ZIP檔時加快定位和提取文件速度，而無需按順序掃描整個ZIP，這種設計提高了效能。

　　● EOCD（中央目錄結束紀錄，紫色區塊，後段深紫色部分）：包含必要的元數據，例如檔案記錄總數和中央目錄的起始位置。當開啟ZIP靠這部分來確定中央目錄的開始位置。

ZIP檔案的串接技術

　　駭客利用ZIP檔案結構靈活性夾帶及散播惡意軟體，稱為ZIP檔案串接技術。此方法將多個ZIP檔案附加到單一ZIP檔案中。組合後檔案顯示為一個ZIP檔，但實際上包含多個中央目錄，每個中央目錄都指向不同的檔案紀錄。這種處理串聯ZIP檔的差異，使得駭客可以將惡意軟體夾藏在某些ZIP讀取器無法或不存取的檔案部分來規避偵測工具。

　　使用ZIP檔案串接技術生成ZIP串接檔案：

　　以上實作範例中，兩個合法的ZIP檔案（pt1.zip和pt2.zip）連接成一個ZIP檔案 (combined.zip)。每個解壓縮工具以不同的方式處理中央目錄，導致隱藏或惡意內容的可見度不同。我們來比較一下三種流行的ZIP解壓縮軟體(7zip、WinRAR和Windows檔案總管)如何處理ZIP串接檔案以及為什麼這種差異很重要。

7zip：

　　當使用7zip開啟我們的範例合併的ZIP檔時，只會顯示第一個存檔 (pt1.zip) 的內容， ”正常檔案.txt”。會出現諸如「有效負載盡頭外還有其他資料」之類的警告，但這很容易被忽略。

WinRAR：

　　當使用WinRAR開啟我們的範例合併的ZIP檔時，只會顯示第二個檔案 (pt2.zip) 的內容， “我是惡意檔案.txt”。過程中不會有任何的警告提示，使其成為可以解壓縮惡意內容的獨特工具，駭客也會利用此特性作為散步惡意軟體的載體。

Windows 檔案總管：

　　Windows 檔案總管無法開啟我們的範例合併的ZIP檔。顯示壓縮檔案資料夾無效。

　　每個解壓縮工具展示了如何處理ZIP串聯的檔案方式，產生了不同的結果和潛在的安全隱患。

利用ZIP串接檔案造成的資安危害

　　在資安危害中，駭客利用email來散播惡意軟體，是很常見的攻擊手法。近期有新的夾帶惡意軟體的手法出現。利用ZIP串接技術生成夾帶惡意軟體的壓縮檔附加到電子郵件造成資安危害，可以繞過大多數標準ZIP解壓縮程式的偵測，而對WinRAR 使用者造成資安危害。

網路釣魚電子郵件案例

　　駭客假借航運公司名義發送的網路釣魚電子郵件。該電子郵件標示有“高重要性”，其中包含名為SHIPPING_INV_PL_BL_pdf.rar的檔案作為附件。郵件內容敦促收件人在裝運之前先檢查附件內的文件。實際上，文件是由ZIP串接技術所生成帶有惡意軟體的rar壓縮檔。如果使用WinRAR解壓縮的話，可能會把夾帶的惡意軟體解壓縮出來，不小心點擊的話可能就會造成資安危害。

7zip：

　　使用7-zip解壓一個”x.pdf”的檔案，應該是一個正常的pdf文件。

WinRAR：

　　WinRAR開啟相同的附件卻解壓出不同的內容。內容包括惡意可執行檔SHIPPING_INV_PL_BL_pdf.exe，不小心點擊將會造成資安危害。

流程圖：

防範ZIP串接檔案造成的資安危害

　　● 當接收到壓縮檔時，確認一下檔案類型是否為zip檔案類型，如果是zip檔案建議使用7-zip或是Windows檔總管來開啟壓縮檔。

　　● 當接收到陌生或是需要緊急處的理郵件中壓縮檔，要格外小心。尤其是rar 結尾的附檔名，因為檔案有可能是利用ZIP串接技術生成的ZIP檔案所包裝成的rar檔案，建議可以用其他的解壓縮程式（例如：7-zip）與WinRAR 比對解壓縮檔案內容是否一致再進行後續動作。

　　想了解更多產品資訊，請連至官網https://www.neithnet.com/zh/，或直接與NEITHNET資安專家聯繫：info@neithnet.com