Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
„Zombie ZIP” to technika obchodzenia mechanizmów bezpieczeństwa, która wykorzystuje zmanipulowane metadane archiwum ZIP do ukrycia złośliwego ładunku przed silnikami antywirusowymi oraz rozwiązaniami EDR. Klucz problemu polega na rozbieżności między informacjami zapisanymi w nagłówkach archiwum a rzeczywistym sposobem zapisania danych wewnątrz pliku.
W praktyce oznacza to, że system bezpieczeństwa może uznać archiwum za niegroźne, uszkodzone lub niemożliwe do poprawnej analizy, podczas gdy atakujący nadal będzie w stanie wydobyć z niego faktyczny payload za pomocą własnego loadera. To nie klasyczny exploit na program do rozpakowywania, lecz przykład nadużycia różnic interpretacyjnych pomiędzy parserami.
W skrócie
Badacze opisali scenariusz, w którym archiwum ZIP deklaruje brak kompresji, choć jego zawartość została faktycznie zapisana jako strumień skompresowany algorytmem Deflate. Taka niespójność może sprawić, że część silników AV i EDR analizuje niewłaściwe dane, co prowadzi do fałszywie negatywnych wyników detekcji.
Sprawa została powiązana z identyfikatorem CVE-2026-0866, a CERT/CC opublikował ostrzeżenie dotyczące ryzyka błędnego skanowania zmanipulowanych archiwów ZIP. Standardowe narzędzia do rozpakowywania często zgłaszają błędy integralności lub problemy z obsługą archiwum, jednak dedykowany loader może mimo to skutecznie odzyskać ukryty ładunek.
Kontekst / historia
Ukrywanie złośliwych treści w kontenerach i archiwach od lat stanowi stały element arsenału operatorów malware. W kampaniach wykorzystywano już między innymi obrazy ISO, archiwa CAB, techniki HTML smuggling oraz niestandardowo zbudowane kontenery plików, aby ominąć kontrolę bram pocztowych, sandboxów i ochrony endpointów.
„Zombie ZIP” wpisuje się w ten sam nurt. Nie atakuje użytkownika poprzez lukę w aplikacji do otwierania archiwum, lecz wykorzystuje fakt, że różne narzędzia mogą odmiennie interpretować ten sam plik. Jeżeli parser bezpieczeństwa ufa nagłówkom, a narzędzie napastnika ignoruje błędne deklaracje i przetwarza dane zgodnie z ich faktyczną strukturą, powstaje luka operacyjna pozwalająca ukryć malware.
Istotny jest też kontekst historyczny. CERT/CC wskazuje podobieństwo do starszych problemów związanych z obsługą zmanipulowanych archiwów ZIP, w tym do wcześniejszych przypadków błędnej walidacji takich struktur. Nowa technika stanowi więc rozwinięcie znanego od lat problemu zaufania do metadanych bez pełnej weryfikacji rzeczywistej zawartości pliku.
Analiza techniczna
Rdzeń techniki opiera się na manipulacji polem Compression Method w nagłówku ZIP. W poprawnym archiwum wartość tego pola powinna odpowiadać metodzie użytej do zapisania danych. W przypadku „Zombie ZIP” archiwum deklaruje metodę 0, czyli STORED, co oznacza brak kompresji, mimo że właściwe dane pozostają skompresowane przy użyciu Deflate.
Dla części silników skanujących to wystarcza, aby potraktować zawartość jako dane nieskompresowane. W efekcie skaner analizuje surowy, skompresowany strumień zamiast rzeczywistego payloadu. Jeżeli mechanizmy wykrywania opierają się na sygnaturach, heurystyce lub emulacji zależnej od poprawnego rozpakowania archiwum, wynik analizy może okazać się błędny.
Dodatkowym elementem jest ustawienie wartości CRC-32 w sposób zgodny z nieskompresowanym ładunkiem. Popularne narzędzia do ekstrakcji mogą wtedy zgłaszać błąd CRC, uszkodzenie danych albo nieobsługiwaną metodę kompresji. Dla użytkownika lub analityka taki plik może wyglądać po prostu na uszkodzone archiwum, choć w rzeczywistości zawiera on poprawny, możliwy do odzyskania payload.
Atakujący nie musi korzystać ze standardowego programu do rozpakowywania. Wystarczy prosty loader, który zignoruje deklarację z nagłówka i bezpośrednio zdekompresuje osadzony strumień Deflate. To właśnie rozjazd między interpretacją obrońcy a interpretacją napastnika czyni tę technikę skuteczną.
Z perspektywy technicznej mamy tu do czynienia z desynchronizacją parserów. Silnik bezpieczeństwa i narzędzie atakującego przetwarzają ten sam plik według innych reguł. W łańcuchu dostarczenia malware takie archiwum może przejść przez skaner pocztowy, ochronę plików, sandbox lub EDR jako obiekt czysty albo jedynie uszkodzony, a dopiero później zostać rozpakowane przez kolejny komponent ataku.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem „Zombie ZIP” jest ryzyko fałszywie negatywnych wyników skanowania. Organizacja może otrzymać informację, że plik nie zawiera złośliwego kodu, mimo że payload pozostaje obecny i możliwy do odzyskania. Taki scenariusz osłabia zaufanie do warstw ochronnych opartych na analizie archiwów i kontenerów.
Ryzyko jest szczególnie wysokie w środowiskach, gdzie archiwa ZIP są standardowym nośnikiem dokumentów, logów, aktualizacji, paczek instalacyjnych czy załączników e-mail. Technika może zostać wykorzystana w kampaniach phishingowych, wieloetapowych infekcjach malware oraz w scenariuszach omijania inspekcji na styku poczty, proxy i ochrony endpointów.
Problem dotyczy również zespołów SOC i IR. Artefakty oznaczone jako „uszkodzone” mogą zostać błędnie sklasyfikowane jako niegroźne lub niskopriorytetowe. To z kolei zwiększa ryzyko przeoczenia istotnego etapu ataku, zwłaszcza jeśli organizacja opiera się na pojedynczym silniku skanującym lub ograniczonym parserze archiwów.
Skala zagrożenia zależy od architektury zabezpieczeń. W środowiskach stosujących wielowarstwową analizę, walidację formatów, sandboxing oraz politykę blokowania nietypowych archiwów wpływ może zostać ograniczony. Mimo to „Zombie ZIP” stanowi ważny sygnał ostrzegawczy dla producentów zabezpieczeń i zespołów odpowiedzialnych za bezpieczne przetwarzanie plików.
Rekomendacje
Organizacje powinny traktować archiwa ZIP z anomaliami strukturalnymi jako obiekty podejrzane, a nie jedynie uszkodzone. Komunikaty o błędzie CRC, niezgodności metody kompresji lub nieobsługiwanym formacie nie powinny automatycznie kończyć analizy incydentu. Takie pliki warto kierować do pogłębionej inspekcji w kontrolowanym środowisku.
Po stronie producentów i integratorów bezpieczeństwa kluczowe jest ograniczenie zaufania do pól nagłówkowych ZIP. Silniki skanujące powinny sprawdzać spójność deklarowanej metody kompresji z rzeczywistą strukturą danych, wykrywać niespójności metadanych oraz stosować bardziej rygorystyczne tryby inspekcji kontenerów.
- blokowanie lub kierowanie do kwarantanny archiwów ZIP z anomaliami strukturalnymi,
- rozszerzenie reguł detekcji o zdarzenia związane z błędami ekstrakcji archiwów,
- monitorowanie procesów, które programowo odczytują i dekompresują dane z pozornie uszkodzonych plików,
- testowanie narzędzi bezpieczeństwa na niestandardowych oraz celowo błędnych archiwach,
- aktualizację procedur triage w SOC, aby status „corrupted archive” nie oznaczał automatycznie „brak zagrożenia”,
- stosowanie normalizacji plików lub wielu parserów podczas analizy kontenerów.
Użytkownicy końcowi również powinni zachować ostrożność. Archiwum otrzymane od nieznanego nadawcy, które nie daje się poprawnie rozpakować, nie powinno być otwierane alternatywnymi narzędziami ani poddawane samodzielnym próbom odzyskiwania danych. W środowisku firmowym taki plik należy przekazać do zespołu bezpieczeństwa.
Podsumowanie
„Zombie ZIP” pokazuje, że skuteczność analizy plików nadal zależy od poprawnej interpretacji formatów i pełnej walidacji metadanych. Atak nie wymaga klasycznego exploita, lecz wykorzystuje różnice między sposobem, w jaki archiwum interpretuje silnik ochronny, a tym, jak robi to narzędzie przygotowane przez napastnika.
Dla branży cyberbezpieczeństwa to kolejny argument za wzmacnianiem parserów, analizą niespójności formatów i traktowaniem uszkodzonych kontenerów jako potencjalnego wektora ataku. Operacyjnie najważniejszy wniosek jest prosty: błędne lub nietypowe archiwum ZIP nie powinno być ignorowane, ponieważ może stanowić świadomie przygotowany nośnik malware.
Źródła
- BleepingComputer — New 'Zombie ZIP’ technique lets malware slip past security tools — https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/
- CERT Coordination Center — VU#976247: Antivirus and Endpoint Detection and Response Archive Scanning Engines may not properly scan malformed zip archives — https://kb.cert.org/vuls/id/976247
- GitHub — Bombadil-Systems/zombie-zip — https://github.com/bombadil-systems/zombie-zip
- CVE.org — CVE-2026-0866 — https://www.cve.org/CVERecord?id=CVE-2026-0866
- CERT Coordination Center — VU#968818 — https://kb.cert.org/vuls/id/968818