Новая техника «Zombie ZIP» обходит сканеры, используя доверие к заголовкам архивов
Обнаружена новая техника уклонения от обнаружения, получившая название «Zombie ZIP». Она позволяет злоумышленникам скрывать вредоносные нагрузки в специально сформированных ZIP-архивах, которые обходят проверку большинством антивирусных решений и систем EDR. Метод эксплуатирует фундаментальное доверие средств безопасности к заголовкам ZIP-файлов, которые те анализируют для определения способа проверки содержимого. Манипулируя определённым полем заголовка, чтобы ложно объявить сжатые данные несжатыми, архив кажется безопасным для инструментов защиты, оставаясь при этом нечитаемым для стандартных утилит распаковки, что создаёт мощный механизм доставки вредоносного ПО.
Техника, обнаруженная исследователем безопасности Крисом Азизом из Bombadil Systems, основана на манипуляции полем 'Method' в локальном заголовке файла ZIP. Это поле обычно указывает алгоритм сжатия, например, '0' для STORED (без сжатия) или '8' для DEFLATE (сжатый). В файле Zombie ZIP заголовок сформирован так, чтобы объявлять Method=0 (STORED), сигнализируя анализаторам, что последующие данные файла являются сырыми, несжатыми байтами. Однако фактическая полезная нагрузка сжата стандартным алгоритмом DEFLATE. В результате защитные механизмы, доверяющие заголовку, сканируют DEFLATE-сжатый поток данных как простой текст, видя лишь бессмысленный «шум», не содержащий узнаваемых сигнатур вредоносного ПО, и тем самым пропускают угрозу.
Эффективность уклонения высока: тестирование против 51 антивирусного движка на VirusTotal показало, что 50 не смогли обнаружить вредоносное ПО, внедрённое с помощью этого метода. Стандартные утилиты, такие как WinRAR или 7-Zip, также не могут корректно извлечь эти файлы, часто возвращая ошибки или повреждённые данные, поскольку они тоже следуют вводящему в заблуждение заголовку. Вредоносная жизнеспособность достигается с помощью кастомного загрузчика — отдельно развёртываемого вредоносного модуля, который запрограммирован игнорировать фальшивый заголовок. Этот загрузчик корректно идентифицирует и распаковывает DEFLATE-сжатую полезную нагрузку, исполняя скрытое вредоносное ПО. Такой раздельный подход отделяет средство доставки (Zombie ZIP) от механизма исполнения, усложняя защиту.
Исследователь опубликовал доказательство концепции на GitHub, включая образцы архивов и технические детали, чтобы повысить осведомлённость и стимулировать улучшения в защитном анализе. Данное раскрытие следует за неделей значительных событий в области кибербезопасности, включая сообщения о злоупотреблении хакерами доменом .arpa и IPv6 для обхода защиты от фишинга, а также предупреждение Microsoft о злонамеренном использовании искусственного интеллекта. Техника Zombie ZIP подчёркивает сохраняющуюся проблему слепого доверия к метаданным файлов и необходимость более строгой валидации со стороны средств защиты.
Эксперты призывают вендоров средств безопасности пересмотреть логику парсинга ZIP-архивов, внедряя более строгие проверки целостности и соответствия заголовков фактическому содержимому. Пользователям рекомендуется соблюдать повышенную осторожность при работе с архивами из непроверенных источников, даже если они проходят антивирусную проверку, и обеспечивать регулярное обновление защитного программного обеспечения.
