Lỗ hổng Zombie ZIP: Tệp nén “tàng hình” qua mặt 50 antivirus, WinRAR/7-Zip giải nén đều báo lỗi
Nhà nghiên cứu Chris Aziz thuộc công ty an ninh mạng Bombadil Systems mới đây đã công bố lỗ hổng kỹ thuật Zombie ZIP, có thể vượt qua sự phát hiện của 50 công cụ diệt virus phổ biến, đồng thời lợi dụng lỗi phát sinh khi giải nén bằng các phần mềm như WinRAR hoặc 7-Zip để thực thi mã độc.
Kỹ thuật lỗ hổng này có mã theo dõi CVE-2026-0866, được thiết kế nhằm né tránh phần mềm diệt virus và các hệ thống EDR (Endpoint Detection and Response). Nó đã vượt qua 50 công cụ diệt virus chủ đạo trên nền tảng VirusTotal, gần như đạt trạng thái “tàng hình” hoàn toàn.
Về nguyên lý kỹ thuật, các nhà nghiên cứu cho biết công cụ diệt virus thường tin tưởng một cách “mù quáng” trường “Method” (phương thức nén) trong tệp ZIP. Kẻ tấn công sẽ đặt trường này thành “0” (STORED – tức không nén), nhưng thực tế dữ liệu bên trong lại được nén bằng thuật toán DEFLATE.
Khi các công cụ bảo mật quét tệp này, chúng chỉ đọc được một loạt dữ liệu “nhiễu nén” hỗn loạn, vì vậy không thể khớp với bất kỳ chữ ký mã độc nào, cuối cùng nhầm lẫn và đánh giá đó là tệp an toàn.
Để che giấu dấu vết hơn nữa, kỹ thuật này còn cố tình tạo ra trở ngại khi giải nén. Các nhà nghiên cứu cho biết, bằng cách đặt giá trị kiểm tra CRC (dùng để đảm bảo tính toàn vẹn dữ liệu) theo trạng thái chưa nén, các công cụ giải nén thông thường như WinRAR hoặc 7-Zip khi cố gắng trích xuất tệp sẽ trực tiếp báo lỗi hoặc hiển thị dữ liệu bị hỏng.
Tuy nhiên, hacker sẽ sử dụng trình nạp (loader) được tùy chỉnh riêng, bỏ qua hoàn toàn phần tiêu đề tệp đã bị giả mạo, sau đó giải nén và giải phóng mã độc được ẩn bên trong. Hiện các nhà nghiên cứu đã công bố mã PoC (Proof of Concept) cùng mẫu thử nghiệm trên GitHub.
Tổ chức này cho biết lỗ hổng này rất giống với một lỗ hổng từng ảnh hưởng đến phần mềm diệt virus ESET cách đây hơn 20 năm (CVE-2004-0935).
CERT/CC khuyến nghị các nhà cung cấp công cụ bảo mật phải đối chiếu chéo giữa trường phương thức nén và dữ liệu thực tế, đồng thời bổ sung cơ chế phát hiện các tệp nén có cấu trúc bất thường.
Về nguyên lý kỹ thuật, các nhà nghiên cứu cho biết công cụ diệt virus thường tin tưởng một cách “mù quáng” trường “Method” (phương thức nén) trong tệp ZIP. Kẻ tấn công sẽ đặt trường này thành “0” (STORED – tức không nén), nhưng thực tế dữ liệu bên trong lại được nén bằng thuật toán DEFLATE.
Khi các công cụ bảo mật quét tệp này, chúng chỉ đọc được một loạt dữ liệu “nhiễu nén” hỗn loạn, vì vậy không thể khớp với bất kỳ chữ ký mã độc nào, cuối cùng nhầm lẫn và đánh giá đó là tệp an toàn.
Để che giấu dấu vết hơn nữa, kỹ thuật này còn cố tình tạo ra trở ngại khi giải nén. Các nhà nghiên cứu cho biết, bằng cách đặt giá trị kiểm tra CRC (dùng để đảm bảo tính toàn vẹn dữ liệu) theo trạng thái chưa nén, các công cụ giải nén thông thường như WinRAR hoặc 7-Zip khi cố gắng trích xuất tệp sẽ trực tiếp báo lỗi hoặc hiển thị dữ liệu bị hỏng.
Tuy nhiên, hacker sẽ sử dụng trình nạp (loader) được tùy chỉnh riêng, bỏ qua hoàn toàn phần tiêu đề tệp đã bị giả mạo, sau đó giải nén và giải phóng mã độc được ẩn bên trong. Hiện các nhà nghiên cứu đã công bố mã PoC (Proof of Concept) cùng mẫu thử nghiệm trên GitHub.
GitHub - Bombadil-Systems/zombie-zip: Malformed ZIP archive that evades antivirus detection by declaring Method=0 (stored) while containing DEFLATE-compressed payload.
Malformed ZIP archive that evades antivirus detection by declaring Method=0 (stored) while containing DEFLATE-compressed payload. - Bombadil-Systems/zombie-zip
CERT/CC Vulnerability Note VU#976247
Antivirus and Endpoint Detection and Response Archive Scanning Engines may not properly scan malformed zip archives
Tổ chức này cho biết lỗ hổng này rất giống với một lỗ hổng từng ảnh hưởng đến phần mềm diệt virus ESET cách đây hơn 20 năm (CVE-2004-0935).
CERT/CC khuyến nghị các nhà cung cấp công cụ bảo mật phải đối chiếu chéo giữa trường phương thức nén và dữ liệu thực tế, đồng thời bổ sung cơ chế phát hiện các tệp nén có cấu trúc bất thường.
BÀI MỚI ĐANG THẢO LUẬN