江蘇
關鍵詞
惡意軟件
一種被稱為 “Zombie ZIP” 的新技術有助于將載荷隱藏在特制的壓縮文件中,以躲避殺毒軟件和終端檢測與響應(EDR)產品等安全解決方案的檢測。
使用 WinRAR 或 7-Zip 等標準工具解壓文件時會出現錯誤或數據損壞。該技術通過操縱 ZIP 文件頭,誘騙解析引擎將壓縮數據視為未壓縮數據。
安全工具不會將該壓縮包標記為潛在危險,而是信任文件頭,并將文件當作原始文件的副本在 ZIP 容器中進行掃描。
“Zombie ZIP” 技術由 Bombadil Systems 安全研究員 Chris Aziz 發明,他發現該技術可以繞過 VirusTotal 上 51 款殺毒引擎中的 50 款。
“殺毒引擎信任 ZIP 的 Method 字段。當 Method=0(STORED,存儲模式)時,它們會將數據作為原始未壓縮字節進行掃描。但數據實際上是經過 DEFLATE 壓縮的 —— 因此掃描器看到的是壓縮后的亂碼,無法發現任何特征碼。” 該研究員解釋道。
威脅行為者可以制作一個忽略文件頭的加載器,并按照實際情況處理壓縮包:即使用現代 ZIP 文件中標準的 Deflate 算法壓縮的數據。
該研究員已在 GitHub 上發布了概念驗證(PoC),分享了示例壓縮包以及該方法工作原理的更多細節。
研究員表示,要讓主流解壓工具(如 7-Zip、unzip、WinRAR)報錯,必須將用于確保數據完整性的 CRC 值設置為未壓縮載荷的校驗和。
“但是,一個專門編寫的加載器可以忽略聲明的壓縮方式,并按 DEFLATE 方式解壓,從而完美還原載荷。”Aziz 說。
昨日,CERT 協調中心(CERT/CC)發布公告,就 “Zombie ZIP” 發出警告,并提高人們對畸形壓縮文件所帶來風險的認識。
該機構表示,雖然畸形文件頭可以欺騙安全解決方案,但部分解壓工具仍能夠正確解壓該 ZIP 壓縮包。
該安全問題已分配 CVE 編號 CVE-2026-0866,該機構稱其與二十多年前披露的一個漏洞類似,即 CVE-2004-0935,影響早期版本的 ESET 殺毒軟件。
CERT/CC 建議,安全工具廠商必須根據實際數據驗證壓縮方式字段,添加檢測壓縮包結構不一致的機制,并實施更嚴格的壓縮包檢查模式。
用戶應謹慎對待壓縮文件,尤其是來自陌生聯系人的文件,如果解壓時出現 “不支持的方式” 錯誤,應立即刪除。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
