圖片來源：Bleeping Computer

一直以來，攻擊者不停在尋找新的手段來散播惡意軟件。

同時又不會被防病毒掃描軟件和電子郵件安全網關檢測到。

近期，一項新的網絡釣魚活動實現了此目的。

包含兩個EOCD的ZIP文件

近日，一起冒充USCO Logistics出口操作專家運送消息的郵件大量散布，實際上這是一種新型的垃圾郵件，而其中的附件ZIP文件經過特制之后能夠繞過電子郵件的安全網關來分發惡意的RAT。

一般來說，每個ZIP文件必須有且只有一個End of central directory record(EOCD) ，即目錄結束標識。

該標識存在整個ZIP文件的結尾，用于標記壓縮的目錄數據的結束。

研究人員之所以發現這個可疑的文檔，是因為其文件大小大于未壓縮的內容。

在對這個文件進行檢查時，研究人員發現ZIP壓縮包中包含兩個不同的結構，每個結構都有自己的EOCD記錄標識。

這很明顯是與一般情況相違背的。

由此研究人員推斷，ZIP文件是經過特殊設計的，才會包含兩個存檔結構。

第一個ZIP結構使用一個order.jpg文件做誘餌，它只是一個無害的圖像文件。但是，第二個ZIP結構包含一個名為SHIPPING_MX00034900_PL_INV_pdf.exe的文件，它實際上是一個遠程訪問木馬(RAT)。

而攻擊者這么做的目的則是為了繞過電子郵件的安全網關，使其只能看到作為誘餌的圖像文件。

不同的解壓結果

此外，研究人員發現，使用不同的應用程序解壓ZIP文件時，會出現不同的結果，這也就表明每個解壓軟件對ZIP的處理方式有所不同。

例如，使用Windows內置的ZIP解壓程序會顯示ZIP文件無效，因此并不會提取該惡意軟件。

使用7-Zip進行測試時，它會提醒我們ZIP文件存在問題，但依然能夠提取文件，只不過提取出來的只有jpg圖像文件。

在使用WinRAR提取文件時，并未發出警告，同時還提取出了惡意軟件。

在測試了眾多軟件之后，研究人員發現只有某些版本的PowerArchiver，WinRAR和較舊的7-Zip才能完整提取惡意可執行文件。

這表明，盡管這項技術十分新穎，能夠繞過電子郵件的安全掃描，但其發揮作用的惡意負載目前還不會輕易被提取，因此受感染的受害者會比預期少很多。

* 本文由看雪編輯 LYA 編譯自 Bleeping Computer，轉載請注明來源及作者。

* 原文鏈接：

https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/

總結

以上是生活随笔為你收集整理的可疑文件_特制的ZIP文件能够绕过电子邮件安全网关的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。