Формат ZIP десятиліттями сприймався як рутинний інструмент обміну файлами, але техніка Zombie ZIP демонструє, що навіть стандартні архіви можуть стати ефективним засобом обходу захисту. Дослідник з кібербезпеки Крис Азіз (Bombadil Systems) показав, як за допомогою навмисно спотворених заголовків ZIP-архіву можна приховати шкідливе навантаження від більшості антивірусних продуктів та систем EDR.
Що таке атака Zombie ZIP і в чому її ключова ідея
ZIP-архів складається з даних файлів та низки службових структур, серед яких особливе значення мають поля методу стиснення та контрольної суми (CRC). Саме довіра до цих полів з боку засобів захисту й стає уразливістю, яка експлуатується технікою Zombie ZIP.
У продемонстрованому варіанті атаки в заголовку архіву поле Method встановлюється в значення 0 (STORED), що згідно зі стандартом означає: «дані не стиснуті». Насправді ж вміст обробляється алгоритмом Deflate. Багато антивірусів і EDR-систем орієнтуються виключно на заголовок і намагаються аналізувати вміст як «сирі» байти без стиснення. У результаті вони бачать не придатний до читання код, а стиснутий бінарний потік, у якому сигнатури шкідливого ПЗ просто не збігаються.
Маніпуляція CRC та структурою ZIP-архіву
Для посилення ефекту у «зомбі-архівах» спотворюється й CRC-значення. Воно обчислюється не для фактичного стиснутого вмісту, а для буцімто «нестиснутої» версії payload. З точки зору стандартних утиліт це виглядає як некоректний або пошкоджений ZIP-файл, оскільки контрольна сума не збігається з реальними даними.
Таке поєднання неправильного методу стиснення та невідповідної CRC створює ситуацію, коли захисні засоби «галочку поставили», а реальні дані так і не проаналізували. Формально архів був перевірений, але фактично його вміст залишився невідомим для антивірусу.
Чому WinRAR, 7-Zip та інші архіватори помиляються, а шкідливий завантажувач – ні
При спробі відкрити Zombie ZIP у популярних програмах (WinRAR, 7-Zip, unzip тощо) користувач часто бачить повідомлення про помилку, некоректний формат або «bitten archive». Частина утиліт узагалі відмовляється розпаковувати такий файл; інші витягують пошкоджені дані, які неможливо виконати.
Натомість спеціалізований завантажувач зловмисника може ігнорувати значення поля Method і трактувати дані як потік Deflate, декомпресуючи їх за власними правилами. У цьому сценарії прихований payload успішно відновлюється й виконується, тоді як EDR-система впевнена, що вже перевірила вміст архіву й не виявила нічого підозрілого.
PoC Zombie ZIP на GitHub та ризик швидкої операціоналізації
Крис Азіз опублікував proof-of-concept-реалізацію Zombie ZIP на GitHub: приклади архівів, код завантажувача та технічний розбір структури. Це означає, що потенційним зловмисникам більше не потрібно глибоко розбиратись у стандарті ZIP – достатньо інтегрувати готовий підхід у фішингові ланцюжки, dropper-и або набори експлойтів.
CVE-2026-0866 і позиція CERT/CC: проблема реалізації, а не формату ZIP
Координаційний центр CERT (CERT/CC) зареєстрував техніку Zombie ZIP під ідентифікатором CVE-2026-0866 та опублікував офіційне попередження. Експерти наголошують, що йдеться не про баг у самому стандарті ZIP, а про некритичне довір’я до заголовків з боку антивірусів та EDR.
У своїй оцінці CERT/CC порівнює Zombie ZIP з ранніми атаками на обробку архівів, зокрема з CVE-2004-0935 в антивірусі ESET, коли неправильна інтерпретація структури ZIP призводила до пропуску шкідливого вмісту. Частина сучасних бібліотек розпаковування вже здатна виявляти такі аномалії та коректно сигналізувати про проблему, але покриття на ринку залишається нерівномірним.
Рекомендації з захисту від Zombie ZIP для розробників та організацій
CERT/CC закликає розробників антивірусів, EDR-рішень і поштових шлюзів переглянути логіку роботи з архівами. Серед ключових технічних рекомендацій:
1. Валідація методу стиснення за фактичними даними. Механізми аналізу мають не лише довіряти полю Method, а й перевіряти, чи відповідає воно реальному формату байтового потоку. Будь-яка невідповідність – сигнал потенційної спроби обходу.
2. Перевірка цілісності структури ZIP. Додатковий аналіз заголовків, полів довжини, офсетів і CRC дозволяє виявляти аномалії, характерні для обфускації шкідливих навантажень і обходу сигнатурного сканування.
3. Агресивні режими сканування в «точках входу» трафіку. На поштових шлюзах, веб-проксі та в потоках завантажень доцільно застосовувати примусову декомпресію різними способами та порівнювати результати, навіть якщо це збільшує навантаження на інфраструктуру.
Для кінцевих користувачів та ІТ-адміністраторів рекомендації залишаються традиційними, але в контексті Zombie ZIP набувають додаткової ваги. Будь-які ZIP-архіви з невідомих або ненадійних джерел мають розглядатися як потенційно небезпечні. Якщо при розпаковці з’являються повідомлення на кшталт «unsupported method» або «archive is corrupted», файл варто негайно видалити та, за можливості, передати на подальший аналіз фахівцям з інформаційної безпеки.
Техніка Zombie ZIP наочно демонструє, наскільки ризикованою може бути беззастережна довіра до форматів файлів і їхніх заголовків. Регулярне оновлення антивірусних рішень, жорсткі політики обробки вкладень у пошті, багаторівнева фільтрація контенту та періодичний перегляд правил роботи з архівами суттєво знижують ризики. Організаціям варто вже зараз перевірити, як їхні засоби захисту обробляють нетипові ZIP-архіви, та відстежувати появу нових технік обходу на кшталт Zombie ZIP, щоб своєчасно адаптувати оборону.
