Новая техника атак на основе ZIP-архивов под названием Zombie ZIP демонстрирует, насколько опасными могут быть на первый взгляд стандартные форматы файлов. Исследователь по кибербезопасности Крис Азиз (Chris Aziz) из компании Bombadil Systems показал, как с помощью нестандартной обработки заголовков ZIP можно скрывать вредоносные нагрузки так, что их практически не замечают антивирусные решения и системы EDR.
Суть атаки Zombie ZIP: манипуляция заголовками ZIP-архива
ZIP — один из самых распространенных форматов архивов, поддерживаемый практически всеми операционными системами и почтовыми сервисами. В его структуре ключевую роль играет заголовок, где, среди прочего, указаны метод сжатия и контрольная сумма (CRC). Именно эти поля и становятся точкой входа для техники Zombie ZIP.
В продемонстрированной атаке в поле Method указывается значение 0 (STORED), что формально означает: «данные не сжаты». Однако фактически содержимое архива кодируется алгоритмом Deflate. Многие антивирусы и EDR-системы полагаются на заголовок и пытаются анализировать содержимое как «сырые» несжатые байты. В результате вместо читаемого кода они видят лишь сжатый «шум», в котором не удается обнаружить сигнатуры вредоносного ПО.
Почему стандартные архиваторы дают сбой, а загрузчик злоумышленника — нет
При попытке открыть такой «зомби-архив» стандартные утилиты — WinRAR, 7-Zip, unzip и им подобные — часто сообщают об ошибке или извлекают поврежденные данные. Это связано с тем, что CRC-значение в заголовке рассчитано для несжатой версии полезной нагрузки, а не для реального сжатого содержимого. Для обычного ПО это выглядит как поврежденный или некорректный архив.
Однако специально написанный загрузчик злоумышленника может полностью игнорировать поле метода сжатия в заголовке и интерпретировать данные как поток Deflate. В этом случае скрытый payload успешно извлекается и запускается, тогда как большинство защитных средств уже «отчитались» о проверке архива и не обнаружили угроз.
PoC на GitHub и доступность техники для злоумышленников
Крис Азиз опубликовал proof-of-concept (PoC)-реализацию Zombie ZIP на GitHub, включая примеры архивов и подробное техническое описание метода. Это означает, что потенциальным атакующим не требуется глубокое знание формата ZIP, чтобы адаптировать эту технику для включения в фишинговые цепочки, загрузчики малвари или комплекты эксплойтов.
CVE-2026-0866 и позиция CERT/CC: проблема не нова, но актуальна
Координационный центр CERT (CERT/CC) опубликовал официальное предупреждение о технике Zombie ZIP и присвоил проблеме идентификатор CVE-2026-0866. Эксперты отмечают, что по сути это разновидность давно известных атак на обработку архивов, напоминающая CVE-2004-0935, выявленную более 20 лет назад в ранних версиях антивируса ESET.
При этом CERT/CC подчеркивает, что уязвимость не связана с самим стандартом ZIP, а связана с тем, как защитные решения доверяют заголовкам и не всегда корректно валидируют структуру архива. Некоторые современные инструменты распаковки уже сейчас способны правильно обрабатывать такие «зомби-архивы», выявляя несоответствия и сообщая о проблеме.
Рекомендации для разработчиков защитных решений и пользователей
Специалисты CERT/CC рекомендуют разработчикам антивирусов, EDR и почтовых шлюзов пересмотреть логику проверки архивов. В частности, рекомендуется:
1. Валидировать метод сжатия по фактическому содержимому. Механизмы анализа должны не только читать поле Method, но и проверять, соответствует ли оно реальному формату данных. Несоответствия следует трактовать как потенциальный индикатор атаки.
2. Добавить проверки целостности структуры ZIP. Дополнительный анализ заголовков, полей длины и CRC-полей помогает выявлять аномалии, характерные для обхода сигнатурного сканирования и обфускации нагрузки.
3. Включать более агрессивные режимы сканирования архивов. В высокорискованных зонах (шлюзы электронной почты, веб-прокси, потоки загрузок) целесообразно принудительно декомпрессировать данные разными способами и сравнивать полученный результат, даже если это увеличивает нагрузку на систему.
Обычным пользователям и ИТ-администраторам рекомендуется внимательно относиться к ZIP-архивам из неизвестных и ненадежных источников. Если при распаковке появляется ошибка вида «unsupported method» или сообщение о поврежденном архиве, такой файл лучше немедленно удалить и, по возможности, передать на анализ службе ИБ.
Техника Zombie ZIP еще раз демонстрирует, что доверие к формату файла и его заголовкам может быть использовано против защитной инфраструктуры. Регулярные обновления антивирусов, настройка строгих политик обработки вложений и использование многоуровневой фильтрации контента помогают снизить риски. Организациям имеет смысл пересмотреть свои политики работы с архивами, особенно в почтовом трафике, и отслеживать появление новых техник обхода, подобных Zombie ZIP, чтобы своевременно адаптировать защиту.
