تقنية "زومبي زيب" الجديدة تتحدى ماسحات الأمن عبر استغلال الثقة في رؤوس الأرشيف
كشف النقاب عن تقنية تهرّب مبتكرة أطلق عليها اسم "زومبي زيب"، تُمكّن الجهات الخبيثة من إخفاء حمولات ضارة داخل أرشيفات ZIP مُعدّة خصيصاً تتجاوز كشف معظم حلول مكافحة الفيروسات وأنظمة الكشف والاستجابة للنقاط الطرفية. تعتمد الطريقة على استغلال الثقة الأساسية في رؤوس ملفات ZIP، حيث تقوم الماسحات الأمنية بتحليل بيانات وصف الأرشيف لتحديد كيفية فحص المحتويات. من خلال التلاعب بحقل معين في الرأس للإعلان الكاذب عن أن البيانات المضغوطة غير مضغوطة، يبدو الأرشيف حميداً للأدوات الأمنية بينما يبقى غير قابل للقراءة بواسطة أدوات الاستخراج القياسية، مما يخلق آلية توصيل قوية للبرمجيات الخبيثة.
تعتمد التقنية، التي اكتشفها الباحث الأمني كريس عزيز من بومباديل سيستمز، على التلاعب بحقل 'الطريقة' داخل رأس ملف ZIP المحلي. يشير هذا الحقل عادةً إلى خوارزمية الضغط المستخدمة، مثل '0' للتخزين (غير مضغوط) أو '8' لخوارزمية DEFLATE (مضغوط). في ملف زومبي زيب، يتم تصميم الرأس للإعلان عن الطريقة = 0 (مخزّن)، مما يشير للمحللات أن بيانات الملف اللاحقة هي بايتات خام غير مضغوطة. ومع ذلك، فإن بيانات الحمولة الفعلية تكون مضغوطة باستخدام خوارزمية DEFLATE القياسية. نتيجة لذلك، تقوم المحركات الأمنية التي تثق في الرأس بمسح تدفق البيانات المضغوط بـ DEFLATE كما لو كان نصاً عادياً، فلا ترى سوى "ضوضائية" مضغوطة لا معنى لها لا تحتوي على بصمات برمجيات خبيثة يمكن التعرف عليها، مما يتيح التهرّب من الكشف.
هذا التهرّب فعال للغاية؛ حيث أظهر الاختبار ضد 51 محرك مكافحة فيروسات على فايروس توتال أن 50 فشلت في اكتشاف البرمجيات الخبيثة المضمنة باستخدام هذه الطريقة. كما تفشل أدوات الأرشيف القياسية مثل وينرار أو 7-زيب في استخراج هذه الملفات بشكل صحيح، حيث تعيد غالباً أخطاء أو بيانات تالفة، لأنها تتبع أيضاً الرأس المضلل. تأتي الفعالية الخبيثة من محمّل مخصص - قطعة برمجية خبيثة تُنشر بشكل منفصل - ومبرمجة لتتجاهل الرأس الاحتيالي. يحدد هذا المحمّل الحمولة المضغوطة بـ DEFLATE بشكل صحيح ويعيد فك ضغطها، لينفّذ البرمجية الخبيثة المخفية. يفصل هذا النهج المزدوج مركبة التوصيل (زومبي زيب) عن آلية التنفيذ، مما يعقّد الدفاع.
نشر الباحث برهاناً مفهوماً على جيت هاب، يتضمن أرشيفات عيّنية وتفاصيل تقنية، لرفع الوعي وتحفيز تحسينات في التحليل الدفاعي. يأتي هذا الكشف بعد أسبوع من تطورات أمنية إلكترونية كبيرة، تشمل تقارير عن استغلال المخترقين لنطاق .arpa في نظام أسماء النطاقات وبروتوكول IPv6 للتهرّب من دفاعات التصيد، وتحذير مايكروسوفت من إساءة استخدام الذكاء الاصطناعي.
