操作されたZIPヘッダーはセキュリティソリューションを欺き、マルウェアを検出されないまま挿入することができます。
Pressmaster | shutterstock.com
「ゾンビZIP」という名前の新しい技術は、圧縮ファイル内にペイロードを隠す能力を持っています。アンチウイルスおよびEDR製品(エンドポイント検出と対応)などのセキュリティソリューションはそれを検出できません。なぜなら、これらのデジタルアンデッドはセキュリティを回避するために特別に設計されたからです。セキュリティコンサルティング企業Bombadil Systemsのセキュリティ研究者であるChris Azizによって開発されました。
全体的には以下のようにAzizは述べています:ファイルがWinRARや7-Zipなどの標準プログラムで抽出されると、エラーメッセージまたは破損したデータが発生します。理由は、ZIPヘッダーが対応するプログラムを欺くように操作されているためです。それらは、圧縮データが非圧縮として処理されるようにします。
アーカイブを潜在的に危険として示す代わりに、セキュリティツールはヘッダーを信頼し、ファイルをZIPコンテナ内の元のコピーであるかのようにスキャンします。具体的には、Azizによると、Microsoft Defenderを含む51個のうち50個のアンチウイルスプログラムが欺かれることになります。
どのようにこれが可能かを彼は説明しています:「アンチウイルスプログラムはZIPファイルの「Method」フィールドを信頼しています。「Method=0」(STORED)がある場合、彼らはデータを非圧縮の生データとしてスキャンします。しかし、実際にはデータはDEFLATE圧縮されており、スキャナーは圧縮されたノイズを見て、署名を見つけることができません」。
専門家によると、攻撃者はこのようにしてヘッダーを無視し、アーカイブをそのまま扱うローダーを作成できます。つまり、最新のZIPファイルで一般的なDEFLATEアルゴリズムで圧縮されたデータです。
偽陰性の結果
Azizはプルーフオブコンセプト(PoC)をGitHubに公開し、そこでサンプルアーカイブおよび方法の機能に関する詳細を提供しました。一般的な解凍プログラムでエラーを引き起こすために、データ整合性を確保するCRC値を非圧縮ペイロードのチェックサムに設定する必要があると、セキュリティ研究者は述べています。
「指定されたメソッドを無視してDEFLATEとして解凍する特別に開発されたローダーは、ペイロードを完璧に復元できます」、とAzizは述べています。
彼にとって、脆弱性はスキャナーが回避されることにあります。なぜなら、セキュリティコントロールは「マルウェアなし」と主張しているからです。実際には、それは存在しており、攻撃者ツールの助けを借りて簡単に復元できます。
その結果への対応として、CERT Coordination Center(CERT/CC)は「ゾンビZIP」に対する警告を発表しました。
このセキュリティ脆弱性の公式指定はCVE-2026-0866で、20年以上前に発見されたCVE-2004-0935の脆弱性に似ています。これはESETアンチウイルスプログラムの初期バージョンに影響を与える脆弱性でした。
セキュリティのためのヒント
CERT/CCの専門家は、セキュリティツールプロバイダーが対策として以下を実施することを提案しています:
- 実際のデータに基づいて圧縮方法フィールドを検証する、
- アーカイブ構造の矛盾を検出するメカニズムを追加し、
- より厳密なアーカイブ検査モードを実装する。
ユーザーは、特に未知の送信者からのアーカイブファイルを慎重に扱う必要があります。解凍時に「サポートされていないメソッド」というエラーメッセージが表示された場合、ファイルはすぐに削除する必要があります。
翻訳元: https://www.csoonline.com/article/4143770/zombie-zip-neue-angriffstechnik-taeuscht-virenscanner.html
