#news Исследователь представил новый вариант обхода EDR с помощью повреждённого архива, Zombie ZIP. 50 из 51 движков на VT его пропускают, хотя идея, мягко говоря, не нова.
Сам метод прост в исполнении: в архиве подменяют поле Method на 0, и EDR сканируют содержимое как несжатые данные — на деле они сжаты deflate, но сканеры видят сжатый шум и не обнаруживают сигнатуры. Всё, на этом весь обход. CERT/CC явно на что-то намекает, сравнивая Zombie ZIP c CVE-2004-0935 — за 20 с лишним лет отношения EDR с метаданными архивов не особо поменялись. Но пока добавить слоёв защиты и пытаться обучать зомби перед экраном не тыкать по архивам всё же чуть эффективнее, чем учитывать все пограничные случаи с парсерами в этих ваших Zombie ZIP’ах. Так что это всё ещё компромисс, на который разрабы EDR готовы идти.
