새로운 “Zombie ZIP” 기법, 멀웨어가 보안 도구를 우회하게 함

Source: Bleeping Computer

개요

**“Zombie ZIP”**이라고 불리는 새로운 기법은 악성 페이로드를 압축 파일에 숨겨 안티바이러스 및 엔드포인트 탐지·응답(EDR) 제품과 같은 보안 솔루션의 탐지를 회피하도록 특별히 제작됩니다. WinRAR나 7‑Zip 같은 일반 유틸리티는 파일을 추출하지 못하고 오류를 발생시키거나 데이터가 손상됩니다.

기법 작동 방식

이 방법은 ZIP 헤더를 조작해 파싱 엔진이 압축 데이터를 압축되지 않은 것으로 처리하도록 합니다. 보안 도구는 ZIP 헤더의 Method 필드를 신뢰합니다:

“AV 엔진은 ZIP Method 필드를 신뢰합니다. Method=0 (STORED)인 경우 데이터를 원시 비압축 바이트로 스캔합니다. 하지만 실제 데이터는 DEFLATE 압축되어 있기 때문에 스캐너는 압축된 잡음만 보고 시그니처를 찾지 못합니다.” 라고 연구원이 설명합니다(link)

로더 우회

선언된 메서드를 무시하고 DEFLATE 방식으로 압축을 해제하는 특수 제작 로더는 페이로드를 완벽히 복구할 수 있습니다:

“하지만 선언된 메서드를 무시하고 DEFLATE로 압축 해제하는 특수 제작 로더는 페이로드를 완벽히 복구합니다.” 라고 Aziz가 말합니다.

연구원 Chris Aziz(Bombadil Systems)는 GitHub에 개념 증명(POC)과 샘플 아카이브, 상세 설명을 공개했습니다.

CRC 조작

인기 있는 추출 도구(7‑Zip, unzip, WinRAR)에서 오류를 일으키기 위해 CRC 값을 압축되지 않은 페이로드의 체크섬으로 설정합니다. 이로 인해 해당 도구들은 “지원되지 않는 메서드” 또는 데이터 손상 오류를 보고합니다.

업계 대응

어제 CERT Coordination Center(CERT/CC)는 “Zombie ZIP”에 대한 경고 bulletin을 발표하고, 손상된 아카이브 파일의 위험성을 강조했습니다:

• bulletin은 여기에서 확인할 수 있습니다.

기관은 일부 보안 솔루션이 속을 수 있지만, 특정 추출 도구는 여전히 아카이브를 올바르게 압축 해제할 수 있다고 언급했습니다.

CVE 할당

• CVE‑2026‑0866 – 이번 보안 이슈에 할당된 번호.
• 이 이슈는 초기 버전 ESET 안티바이러스 제품에 영향을 미친 CVE‑2004‑0935와 유사합니다.

공급업체를 위한 권고 사항

CERT/CC는 보안 도구 공급업체에게 다음을 권고합니다:

• 압축 방식 필드와 실제 데이터가 일치하는지 검증할 것.
• 아카이브 구조의 불일치를 탐지할 것.
• 보다 적극적인 아카이브 검사 모드를 구현할 것.

사용자에게 권고 사항

• 특히 알 수 없는 발신자로부터 받은 아카이브 파일은 주의해서 다룰 것.
• “지원되지 않는 메서드” 오류가 발생하면 즉시 해당 아카이브를 삭제할 것.