- 26,301
- 46
- 8 Ноя 2022
Изучаем феномен Zombie ZIP, обманывающего зрение программных сканеров.
Исследователи обратили внимание на новый приём маскировки вредоносного кода в ZIP-архивах. Метод получил название «Zombie ZIP» и позволяет прятать полезную нагрузку в архивах так, что большинство средств защиты принимает их содержимое за безопасные данные.
Технику разработал специалист по безопасности компании Bombadil Systems Крис Азиз. Приём основан на манипуляции заголовками ZIP-архива. Злоумышленник изменяет поле, которое указывает способ сжатия, заставляя анализаторы считать, что файл внутри архива хранится без сжатия. Антивирусы и системы обнаружения угроз доверяют такому значению и проверяют содержимое как обычные несжатые данные.
На деле внутри архива находится файл, сжатый алгоритмом Deflate — стандартным способом сжатия для ZIP. В результате защитные механизмы видят лишь бессмысленный набор байтов и не находят сигнатур вредоносного кода. По данным Криса Азиза, техника обходит 50 из 51 антивирусного движка, доступного на платформе VirusTotal .
При попытке распаковать такой архив стандартными утилитами, включая 7-Zip , WinRAR или unzip, появляется ошибка или сообщение о повреждённых данных. Причина в специально изменённом контрольном значении CRC, которое соответствует контрольной сумме уже распакованного файла. Из-за такого несоответствия популярные программы считают архив повреждённым.
Однако вредоносная программа может игнорировать указанный в заголовке способ сжатия и просто распаковать данные как Deflate. В таком случае скрытая полезная нагрузка извлекается без ошибок. Крис Азиз опубликовал демонстрационный код и образцы архивов на GitHub , чтобы показать принцип работы техники.
На ситуацию обратил внимание Центр координации CERT. Организация выпустила предупреждение и присвоила проблеме идентификатор CVE-2026-0866 . Представители центра отметили сходство с уязвимостью CVE-2004-0935 , обнаруженной более двадцати лет назад в ранних версиях антивируса ESET.
Специалисты центра считают, что разработчикам средств защиты необходимо проверять соответствие между указанным методом сжатия и фактическими данными архива. Дополнительные механизмы анализа структуры архивов и более строгие режимы проверки помогут выявлять подобные несоответствия.
Также подчёркивается необходимость осторожного обращения с архивными файлами из неизвестных источников . Ошибка «unsupported method» при распаковке может указывать на попытку скрыть вредоносное содержимое, поэтому такие файлы лучше сразу удалить.
Исследователи обратили внимание на новый приём маскировки вредоносного кода в ZIP-архивах. Метод получил название «Zombie ZIP» и позволяет прятать полезную нагрузку в архивах так, что большинство средств защиты принимает их содержимое за безопасные данные.
Технику разработал специалист по безопасности компании Bombadil Systems Крис Азиз. Приём основан на манипуляции заголовками ZIP-архива. Злоумышленник изменяет поле, которое указывает способ сжатия, заставляя анализаторы считать, что файл внутри архива хранится без сжатия. Антивирусы и системы обнаружения угроз доверяют такому значению и проверяют содержимое как обычные несжатые данные.
На деле внутри архива находится файл, сжатый алгоритмом Deflate — стандартным способом сжатия для ZIP. В результате защитные механизмы видят лишь бессмысленный набор байтов и не находят сигнатур вредоносного кода. По данным Криса Азиза, техника обходит 50 из 51 антивирусного движка, доступного на платформе VirusTotal .
При попытке распаковать такой архив стандартными утилитами, включая 7-Zip , WinRAR или unzip, появляется ошибка или сообщение о повреждённых данных. Причина в специально изменённом контрольном значении CRC, которое соответствует контрольной сумме уже распакованного файла. Из-за такого несоответствия популярные программы считают архив повреждённым.
Однако вредоносная программа может игнорировать указанный в заголовке способ сжатия и просто распаковать данные как Deflate. В таком случае скрытая полезная нагрузка извлекается без ошибок. Крис Азиз опубликовал демонстрационный код и образцы архивов на GitHub , чтобы показать принцип работы техники.
На ситуацию обратил внимание Центр координации CERT. Организация выпустила предупреждение и присвоила проблеме идентификатор CVE-2026-0866 . Представители центра отметили сходство с уязвимостью CVE-2004-0935 , обнаруженной более двадцати лет назад в ранних версиях антивируса ESET.
Специалисты центра считают, что разработчикам средств защиты необходимо проверять соответствие между указанным методом сжатия и фактическими данными архива. Дополнительные механизмы анализа структуры архивов и более строгие режимы проверки помогут выявлять подобные несоответствия.
Также подчёркивается необходимость осторожного обращения с архивными файлами из неизвестных источников . Ошибка «unsupported method» при распаковке может указывать на попытку скрыть вредоносное содержимое, поэтому такие файлы лучше сразу удалить.
- Источник новости
- www.securitylab.ru
