- Автор темы
- #1
ИБ-исследователь Крис Азиз (Chris Aziz) из компании Bombadil Systems разработал и продемонстрировал технику атак под названием Zombie ZIP, которая позволяет скрывать вредоносные нагрузки в ZIP-архивах таким образом, что их не замечают антивирусы и EDR.
Специалист объясняет, что суть атаки заключается в манипуляции с заголовками файла ZIP. В поле Method выставляется значение 0 (STORED), то есть «данные не сжаты». Однако на деле содержимое архива сжимается алгоритмом Deflate. Антивирусы доверяют заголовку и пытаются сканировать содержимое как сырые байты, но видят лишь сжатый «шум», в котором не распознают сигнатуры.
При этом стандартные утилиты вроде WinRAR, 7-Zip или unzip при попытке распаковать такой архив сообщают об ошибке или извлекают поврежденные данные. Это происходит из-за того, что CRC-значение (контрольная сумма) в архиве задано для несжатой версии полезной нагрузки. Однако специально созданный загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, без проблем может извлечь скрытый пейлоад.
Азиз уже опубликовал PoC на GitHub, включая примеры архивов и подробное описание метода.
Координационный центр CERT (CERT/CC) уже выпустил предупреждение об этой технике атак. Проблеме был присвоен идентификатор CVE-2026-0866, и специалисты отмечают, что она напоминает уязвимость CVE-2004-0935, обнаруженную более 20 лет назад в ранней версии антивируса ESET.
При этом подчеркивается, что некоторые инструменты для распаковки все же могут корректно обрабатывать такие «зомби-архивы».
В CERT/CC рекомендуют разработчикам защитных решений валидировать поле метода сжатия по фактическим данным, добавить механизмы обнаружения несоответствий в структуре архивов и реализовать более агрессивные режимы проверки. Пользователям советуют с осторожностью относиться к архивам из незнакомых источников и удалять их, если при распаковке возникает ошибка «unsupported method».
Специалист объясняет, что суть атаки заключается в манипуляции с заголовками файла ZIP. В поле Method выставляется значение 0 (STORED), то есть «данные не сжаты». Однако на деле содержимое архива сжимается алгоритмом Deflate. Антивирусы доверяют заголовку и пытаются сканировать содержимое как сырые байты, но видят лишь сжатый «шум», в котором не распознают сигнатуры.
При этом стандартные утилиты вроде WinRAR, 7-Zip или unzip при попытке распаковать такой архив сообщают об ошибке или извлекают поврежденные данные. Это происходит из-за того, что CRC-значение (контрольная сумма) в архиве задано для несжатой версии полезной нагрузки. Однако специально созданный загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, без проблем может извлечь скрытый пейлоад.
Азиз уже опубликовал PoC на GitHub, включая примеры архивов и подробное описание метода.
Координационный центр CERT (CERT/CC) уже выпустил предупреждение об этой технике атак. Проблеме был присвоен идентификатор CVE-2026-0866, и специалисты отмечают, что она напоминает уязвимость CVE-2004-0935, обнаруженную более 20 лет назад в ранней версии антивируса ESET.
При этом подчеркивается, что некоторые инструменты для распаковки все же могут корректно обрабатывать такие «зомби-архивы».
В CERT/CC рекомендуют разработчикам защитных решений валидировать поле метода сжатия по фактическим данным, добавить механизмы обнаружения несоответствий в структуре архивов и реализовать более агрессивные режимы проверки. Пользователям советуют с осторожностью относиться к архивам из незнакомых источников и удалять их, если при распаковке возникает ошибка «unsupported method».