พบเทคนิคใหม่ในชื่อ “Zombie ZIP” ที่ช่วยซ่อนไฟล์อันตรายไว้ในไฟล์ compressed ที่สร้างขึ้นมาเป็นพิเศษ เพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยอย่าง antivirus หรือ EDR (Endpoint Detection and Response)
หากพยายามแตกไฟล์ด้วยโปรแกรมมาตรฐานอย่าง WinRAR หรือ 7-Zip มันจะขึ้นข้อความแจ้งเตือนข้อผิดพลาด หรือไฟล์เสีย โดยเทคนิคนี้ทำงานด้วยการดัดแปลง header ของไฟล์ ZIP เพื่อหลอกระบบสแกนให้เข้าใจผิดว่าข้อมูลที่ถูก compressed เป็นข้อมูลที่ไม่ได้ compressed
แทนที่เครื่องมือรักษาความปลอดภัยจะระบุว่าไฟล์นั้นอันตราย แต่เครื่องมือรักษาความปลอดภัยจะเชื่อข้อมูลในส่วน header และสแกนไฟล์นั้นประหนึ่งว่าเป็นเพียงเป็นสำเนาของไฟล์ต้นฉบับที่อยู่ในไฟล์ ZIP เท่านั้น
เทคนิค “Zombie ZIP” ถูกคิดค้นโดย Chris Aziz นักวิจัยด้านความปลอดภัยจาก Bombadil Systems ซึ่งเขาพบว่าวิธีนี้สามารถหลอกโปรแกรมสแกนไวรัสบน VirusTotal ได้ถึง 50 จาก 51 ตัว
นักวิจัยอธิบายว่า "Antivirus Engine มักจะเชื่อค่าใน field ZIP Method หากตั้งค่า Method เป็น 0 (STORED) ระบบจะสแกนข้อมูลแบบ raw uncompressed แต่ความจริงแล้วข้อมูลนั้นถูก compressed แบบ DEFLATE อยู่ ทำให้เครื่องมือสแกนเห็นเป็นเพียงข้อมูล noise ที่บีบอัดไว้ และหา signature ของมัลแวร์ไม่พบ"
ในขณะที่ Hacker สามารถสร้าง loader ที่ bypass การอ่าน header แล้วประมวลผลไฟล์ตามความเป็นจริง ซึ่งก็คือข้อมูลที่ถูก compressed ด้วยอัลกอริทึม Deflate มาตรฐานที่ใช้ในไฟล์ ZIP ปัจจุบัน
ผู้วิจัยได้เผยแพร่ตัวอย่างการทดสอบ (proof-of-concept) ลงบน GitHub พร้อมทั้งแชร์ไฟล์ตัวอย่าง และรายละเอียดเชิงลึกเกี่ยวกับการทำงานของวิธีนี้
เขาระบุว่า การจะทำให้โปรแกรมแตกไฟล์ยอดนิยม (เช่น 7-Zip, unzip, WinRAR) แจ้งข้อผิดพลาดนั้น จะต้องตั้งค่า CRC (ค่าตรวจสอบความถูกต้องของข้อมูล) ให้ตรงกับค่า checksum ของไฟล์ต้นฉบับที่ยังไม่ compressed
Aziz ระบุว่า "อย่างไรก็ตาม หากใช้ loader ที่สร้างขึ้นมาเฉพาะเพื่อข้ามค่าที่ระบุไว้ แล้วทำการแตกไฟล์แบบ DEFLATE ก็จะสามารถดึงไฟล์อันตรายออกมาได้อย่างสมบูรณ์"
ศูนย์ประสานงาน CERT (CERT/CC) ได้ออกประกาศแจ้งเตือนเกี่ยวกับ “Zombie ZIP” เพื่อสร้างความตระหนักถึงความเสี่ยงจากไฟล์ compressed ที่มีโครงสร้างผิดปกติเหล่านี้
ทางหน่วยงานระบุว่า แม้การบิดเบือนส่วน header จะหลอกโปรแกรมรักษาความปลอดภัยได้ แต่โปรแกรมแตกไฟล์บางตัวก็ยังสามารถแตกไฟล์ ZIP เหล่านี้ออกมาได้สำเร็จ
ปัญหานี้ได้รับหมายเลขช่องโหว่ CVE-2026-0866 ซึ่งทางหน่วยงานระบุว่าคล้ายคลึงกับช่องโหว่ CVE-2004-0935 ที่เคยถูกเปิดเผยเมื่อกว่า 20 ปีก่อน ซึ่งในตอนนั้นส่งผลกระทบต่อโปรแกรมแอนตี้ไวรัส ESET เวอร์ชันแรก ๆ
CERT/CC เสนอแนะว่า ผู้พัฒนาเครื่องมือรักษาความปลอดภัยควรตรวจสอบ field วิธีการ compressed เทียบกับข้อมูลจริง เพิ่มกลไกตรวจจับความผิดปกติของโครงสร้างไฟล์ และเพิ่มความเข้มงวดในการตรวจสอบไฟล์ compressed ให้มากขึ้น
สำหรับผู้ใช้งานทั่วไป ควรระมัดระวังไฟล์ compressed โดยเฉพาะที่มาจากบุคคลที่ไม่รู้จัก และหากพยายามแตกไฟล์แล้วพบข้อผิดพลาด “unsupported method” ให้ลบไฟล์นั้นทิ้งทันที
นักวิจัยโต้แย้งช่องโหว่นี้
นักวิจัยด้านความปลอดภัยทางไซเบอร์หลายคนได้ติดต่อ BleepingComputer เพื่อบอกว่าพวกเขาไม่เชื่อว่าวิธีการนี้ควรถูกจัดประเภทเป็นช่องโหว่ หรือได้รับ CVE
พวกเขาโต้แย้งว่าถึงแม้จะเป็นวิธีการที่ถูกต้องในการเผยแพร่ซอฟต์แวร์มัลแวร์ แต่ก็ทำให้ไฟล์เสียหายภายนอกโครงสร้างไฟล์ปกติ ทำให้เครื่องมือแตกไฟล์ ZIP และโปรแกรมป้องกันไวรัสไม่สามารถแตกไฟล์ และสแกนหาซอฟต์แวร์มัลแวร์ได้อย่างถูกต้อง
นักวิจัยคนหนึ่งที่ขอไม่เปิดเผยชื่อระบุกับ BleepingComputer ว่า "สิ่งที่ทำให้ CVE-2026-0866 ไม่ใช่ช่องโหว่คือ ไฟล์ ZIP ที่ถูกแก้ไขด้วยวิธีใหม่นี้ไม่สามารถเปิดได้บนระบบเป้าหมาย ดังนั้นจึงไม่ใช่ช่องโหว่"
ยิ่งไปกว่านั้น เนื่องจากต้องใช้ custom loader ในการทำงานบนอุปกรณ์เพื่อแตกไฟล์ ซึ่งแปลว่าอุปกรณ์นั้นน่าจะถูกแฮ็กไปก่อนแล้ว
Karsten Hahn นักวิจัยจาก GData ตั้งคำถามว่า "ไม่เข้าใจว่าทำไมถึงเป็น CVE ในเมื่อโปรแกรมแตกไฟล์มาตรฐานไม่สามารถแตกไฟล์ ZIP เหล่านี้ได้"
"หากคุณทำให้ไฟล์เสียหาย หรือเข้ารหัส และจำเป็นต้องใช้ custom loader เพื่อแตกไฟล์นั้น คุณก็จะได้ผลลัพธ์เช่นเดียวกัน"
ที่มา : bleepingcomputer
You must be logged in to post a comment.