Header-Manipulationstechnik: Zombie Zip trickst fast alle Antivirus-Tools aus
Der Sicherheitsforscher Chris Aziz von Bombadil Systems hat eine Angriffstechnik vorgestellt, mit der sich Malware unbemerkt an fast allen gängigen Sicherheitslösungen vorbeischleusen lässt. Die Zombie Zip genannte Technik basiert auf der Manipulation der Header-Daten von Zip-Archiven. Bei eigenen Tests des Forschers auf Virustotal soll nur eines von 51 Antivirus-Tools die versteckte Malware erkannt haben.
Aziz stellt seine Angriffstechnik in einem Github-Repository(öffnet im neuen Fenster) vor und liefert auch gleich einen Proof-of-Concept-Exploit mit. Dort beschreibt der Forscher Zombie Zip als "Zip-Format-Verschleierungstechnik, die 98 Prozent aller Antivirenprogramme umgeht" . Als Ursache nennt er den Umstand, dass die Sicherheitstools zu sehr auf die Angaben im Zip-Header vertrauen.
Dort lasse sich bei komprimierten Dateiarchiven einfach angeben, dass die jeweilige Zip-Datei unkomprimiert (Method=0 / Stored) sei. Die AV-Tools nehmen daraufhin an, dass die Daten tatsächlich nicht komprimiert sind, und lesen nur Datenmüll. Eine im Archiv versteckte Malware bleibt dadurch unentdeckt und passiert gängige Sicherheitskontrollen, ohne eine Warnung auszulösen.
Ein seit Jahrzehnten bekanntes Problem
Als Prüfsumme (CRC) wird bei dem Angriff jene des unkomprimierten Payloads verwendet. Dadurch melden Archivierungstools wie 7-Zip, Unzip oder Winrar Fehler und weisen Anwender beim Öffnen des jeweiligen Archivs darauf hin, dass die Datei beschädigt ist. Ein spezieller Malware-Loader, der den manipulierten Header berücksichtigt, kann den Inhalt jedoch problemlos entpacken.
Die Zombie Zip zugrundeliegende Sicherheitslücke ist als CVE-2026-0866(öffnet im neuen Fenster) registriert. Grundsätzlich neu ist das Problem aber nicht. Wie aus einer Sicherheitsmeldung des Cert/CC(öffnet im neuen Fenster) der Carnegie Mellon University hervorgeht, wurde das gleiche Verhalten schon vor über 20 Jahren bei Eset Anti-Virus beobachtet ( CVE-2004-0935(öffnet im neuen Fenster) ).
"Anbieter von Antiviren- und EDR-Lösungen sollten sich bei der Entscheidung über die Behandlung von Inhalten nicht ausschließlich auf die angegebenen Archiv-Metadaten verlassen" , warnt das Cert/CC vor diesem Hintergrund.
Stattdessen sollten die Metadaten mit den tatsächlichen Inhalten abgeglichen und bei Unstimmigkeiten weitere Prüfungen veranlasst werden. Anwendern wird empfohlen, sich bezüglich der Anfälligkeit ihrer Sicherheitstools sowie möglichen Schutzmaßnahmen an den jeweiligen Hersteller zu wenden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.