Mithilfe sogenannter Zombie-ZIPs lassen sich fast alle Virenscanner austricksen.
Pressmaster | shutterstock.com
Eine neue Technik mit dem Namen „Zombie ZIP“ ist in der Lage, Payloads in komprimierten Dateien zu verbergen. Sicherheitslösungen wie Antiviren- und EDR-Produkte (Endpoint Detection and Response) können sie nicht entdecken, denn die digitalen Untoten wurden speziell geschaffen, um die Security zu umgehen. Entwickelt wurden sie von Chris Aziz, einem Sicherheitsforscher beim Security-Consulting-Unternehmen Bombadil Systems.
Header täuschen Software
Das Ganze läuft wie folgt ab, so Aziz: Werden die Dateien mit Standardprogrammen wie WinRAR oder 7-Zip extrahiert, kommt es zu Fehlermeldungen oder korrumpierten Daten. Grund ist, dass die ZIP-Header so manipuliert sind, dass sie die entsprechenden Programme täuschen. Sie sorgen dafür, dass komprimierte Daten als unkomprimiert behandeln werden.
Anstatt das Archiv als potenziell gefährlich zu kennzeichnen, vertrauen Sicherheits-Tools dem Header und scannen die Datei, als wäre sie eine Kopie des Originals in einem ZIP-Container. Konkret sollen sich laut Aziz 50 der 51 Antivirenprogramme, darunter auch der Microsoft Defender, ausgetricken lassen.
Wie das möglich ist, erklärt er so: „Antivirenprogramme vertrauen dem Feld „Method“ der ZIP-Datei. Liegt „Method=0“ (STORED) vor, scannen sie die Daten als unkomprimierte Rohdaten. Tatsächlich sind die Daten aber DEFLATE-komprimiert – der Scanner sieht also komprimiertes Rauschen und findet keine Signaturen“.
Dem Experten zufolge könne ein Angreifer auf diese Weise einen Loader erstellen, der den Header ignoriert und das Archiv als das behandelt, was es ist: Daten, die mit dem in modernen ZIP-Dateien üblichen DEFLATE-Algorithmus komprimiert wurden.
Falsch-negative Ergebnisse
Aziz hat einen Proof-of-Concept (PoC) auf GitHub veröffentlicht und dort Beispielarchive sowie weitere Details zur Funktionsweise der Methode bereitgestellt. Um bei gängigen Entpackungsprogrammen einen Fehler zu provozieren, müsse der CRC-Wert, der die Datenintegrität sicherstellt, auf die Prüfsumme der unkomprimierten Payload gesetzt werden, so der Sicherheitsforscher.
„Ein speziell entwickelter Loader, der die angegebene Methode ignoriert und als DEFLATE dekomprimiert, stellt die Nutzdaten jedoch einwandfrei wieder her“, so Aziz.
Für ihn besteht die Schwachstelle deshalb darin, dass die Scanner umgangen werden, denn Sicherheitskontrollen behaupten, dass „no malware present“ sei. In Wirklichkeit sei sie aber vorhanden und könne mit Hilfe von Angreifer-Tooling trivial wiederhergestellt werden.
Als Reaktion auf die Ergebnisse veröffentlichte das CERT Coordination Center (CERT/CC) eine Warnung vor „Zombie-ZIPs“.
Die offizielle Kennzeichnung dieser Sicherheitslücke lautet CVE-2026-0866 und ähnelt der vor über zwanzig Jahren bekannt gewordenen Schwachstelle CVE-2004-0935. Hierbei handelte es sich um eine Schwachstelle, die eine frühe Version des ESET-Antivirenprogramms betraf.
Tipps für die Security
Die Experten des CERT/CC schlagen als Gegenmaßnahme vor, dass Anbieter von Sicherheitstools
- die Felder für die Komprimierungsmethode anhand der tatsächlichen Daten validieren,
- Mechanismen zur Erkennung von Inkonsistenzen in der Archivstruktur hinzufügen und
- strengere Archivprüfungsmodi implementieren.
Benutzer sollten Archivdateien mit Vorsicht behandeln, insbesondere wenn sie von unbekannten Absendern stammen. Erscheint beim Entpacken die Fehlermeldung „unsupported method“, sollten die Dateien umgehend gelöscht werden.