新‘Zombie ZIP’技术让恶意软件逃过安全工具

Source: Bleeping Computer

概述

一种新技术被称为 “Zombie ZIP”，它通过在压缩文件中隐藏有效载荷并特意构造文件，以规避防病毒软件和端点检测与响应（EDR）等安全解决方案的检测。常规工具如 WinRAR 或 7‑Zip 在解压时会失败，出现错误或产生损坏的数据。

技术原理

该方法操纵 ZIP 头部，使解析引擎将压缩数据当作未压缩数据来处理。安全工具会信任 ZIP 头部中的 Method 字段：

“AV 引擎信任 ZIP Method 字段。当 Method=0（STORED）时，它们会把数据当作原始未压缩字节进行扫描。但实际数据是 DEFLATE 压缩的——因此扫描器看到的只是压缩噪声，找不到特征签名，”研究员解释道（link)

Loader 绕过

一个专门构建的 loader 会忽略声明的 Method 字段，并按 DEFLATE 方式解压，从而完美恢复有效载荷：

“然而，一个专门构建的 loader 忽略声明的 Method 并按 DEFLATE 解压，能够完美恢复有效载荷，”Aziz 说。

研究员 Chris Aziz（Bombadil Systems）在 GitHub 上发布了概念验证代码，提供了示例压缩包和详细说明。

CRC 操作

为了在常用解压工具（7‑Zip、unzip、WinRAR）中触发错误，CRC 值被设置为 未压缩 有效载荷的校验和，这会导致这些工具报告 “unsupported method” 或数据损坏。

行业响应

昨天，CERT 协调中心（CERT/CC）发布了关于 “Zombie ZIP” 的通报，提醒人们注意畸形归档文件的风险：

• 通报可在 此处 阅读。

该机构指出，虽然部分安全解决方案可能被欺骗，但某些解压工具仍能正确解压该归档。

CVE 分配

• CVE‑2026‑0866 – 已分配给此安全问题。
• 该问题与 CVE‑2004‑0935 类似，后者影响了早期版本的 ESET 防病毒产品。

对厂商的建议

CERT/CC 建议安全工具厂商：

• 验证压缩方法字段是否与实际数据匹配。
• 检测归档结构中的不一致性。
• 实施更积极的归档检查模式。

对用户的建议

• 对归档文件保持警惕，尤其是来自未知联系人 的文件。
• 如果解压时出现 “unsupported method” 错误，请立即删除该归档。