Новая техника «Zombie ZIP» позволяет скрывать вредоносную нагрузку в сжатых файлах, обходя антивирусы и EDR. Манипуляция заголовками ZIP заставляет сканеры доверять данным, но стандартные утилиты выдают ошибки. — bleepingcomputer.com
Новая техника под названием «Zombie ZIP» позволяет скрывать полезную нагрузку в сжатых файлах, специально созданных для обхода обнаружения средствами безопасности, такими как антивирусы и продукты для обнаружения и реагирования на конечных точках (EDR).
Попытка извлечь файлы с помощью стандартных утилит, таких как WinRAR или 7-Zip, приводит к ошибкам или повреждению данных. Техника работает за счет манипулирования заголовками ZIP, чтобы заставить механизмы парсинга обрабатывать сжатые данные как несжатые.
Вместо того чтобы помечать архив как потенциально опасный, инструменты безопасности доверяют заголовку и сканируют файл так, как если бы это была копия оригинала в контейнере ZIP.
Техника «Zombie ZIP» была разработана исследователем безопасности из Bombadil Systems Крисом Азизом, который обнаружил, что она работает против 50 из 51 антивирусного движка на VirusTotal.
“Антивирусные движки доверяют полю ZIP Method. Когда Method=0 (STORED), они сканируют данные как необработанные несжатые байты. Но на самом деле данные сжаты с помощью DEFLATE — поэтому сканер видит сжатый шум и не находит сигнатур”, — объясняет исследователь.
Злоумышленник может создать загрузчик, который игнорирует заголовок и обрабатывает архив как данные, сжатые стандартным алгоритмом Deflate, используемым в современных ZIP-файлах.
Исследователь опубликовал концепт (PoC) на GitHub, предоставив образцы архивов и дополнительные сведения о работе метода.
Чтобы заставить популярные инструменты извлечения (например, 7-Zip, unzip, WinRAR) выдать ошибку, исследователь утверждает, что значение CRC, обеспечивающее целостность данных, должно быть установлено как контрольная сумма несжатой полезной нагрузки.
«Однако специально созданный загрузчик, который игнорирует заявленный метод и распаковывает как DEFLATE, идеально восстанавливает полезную нагрузку», — говорит Азиз.
Вчера Координационный центр CERT (CERT/CC) опубликовал бюллетень с предупреждением о «Zombie ZIP» и повышением осведомленности о рисках, связанных с некорректно сформированными архивными файлами.
Хотя некорректный заголовок может обмануть средства безопасности, агентство заявляет, что некоторые инструменты извлечения все еще способны корректно распаковать ZIP-архив.
Идентификатор CVE-2026-0866 был присвоен этой проблеме безопасности, которую агентство считает схожей с уязвимостью, раскрытой более двух десятилетий назад, CVE-2004-0935, затронувшей раннюю версию антивирусного продукта ESET.
CERT/CC предлагает поставщикам инструментов безопасности проверять поля метода сжатия на соответствие фактическим данным, добавлять механизмы для обнаружения несоответствий в структуре архива и внедрять более агрессивные режимы инспекции архивов.
Пользователям следует с осторожностью относиться к архивным файлам, особенно полученным от неизвестных контактов, и немедленно удалять их, если попытки распаковки завершаются ошибкой «неподдерживаемый метод».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas