-
16/07/2025
-
1
-
23 bài viết
Phân tích kỹ thuật: “Zombie ZIP” thực chất hoạt động thế nào và vì sao có thể đánh lừa phần mềm diệt virus?
Kỹ thuật “Zombie ZIP” đang thu hút sự chú ý của cộng đồng an ninh mạng sau khi được nhà nghiên cứu Chris Aziz công bố. Trên thực tế, Zombie ZIP không phải là một lỗ hổng trong định dạng ZIP và cũng không phải kỹ thuật “giấu mã độc” theo nghĩa thông thường. Đây chủ yếu là một phương pháp né phát hiện dựa trên việc tạo ra tệp ZIP có metadata không khớp với dữ liệu thực.
Bản chất của kỹ thuật Zombie ZIP
Một tệp ZIP luôn chứa phần metadata (header) mô tả cách dữ liệu bên trong được nén. Các công cụ bảo mật như antivirus hay EDR thường dựa vào thông tin này để xác định cách tiền xử lý tệp trước khi quét mã độc.
Zombie ZIP lợi dụng chính cơ chế này. Kẻ tấn công chỉnh sửa trường compression method trong header để khai báo rằng dữ liệu không được nén (Method = STORED). Tuy nhiên, payload thực tế bên trong lại được nén bằng thuật toán Deflate - phương thức nén phổ biến của định dạng ZIP.
Do nhiều engine bảo mật tin vào thông tin trong header, chúng sẽ quét dữ liệu như thể đó là nội dung thô chưa nén. Kết quả là hệ thống chỉ nhìn thấy dữ liệu nén dạng “nhiễu”, khiến việc nhận diện chữ ký mã độc thất bại.
Trong thử nghiệm của nhà nghiên cứu, kỹ thuật này có thể qua mặt 50/51 engine antivirus trên VirusTotal.
Zombie ZIP lợi dụng chính cơ chế này. Kẻ tấn công chỉnh sửa trường compression method trong header để khai báo rằng dữ liệu không được nén (Method = STORED). Tuy nhiên, payload thực tế bên trong lại được nén bằng thuật toán Deflate - phương thức nén phổ biến của định dạng ZIP.
Do nhiều engine bảo mật tin vào thông tin trong header, chúng sẽ quét dữ liệu như thể đó là nội dung thô chưa nén. Kết quả là hệ thống chỉ nhìn thấy dữ liệu nén dạng “nhiễu”, khiến việc nhận diện chữ ký mã độc thất bại.
Trong thử nghiệm của nhà nghiên cứu, kỹ thuật này có thể qua mặt 50/51 engine antivirus trên VirusTotal.
Vì sao các công cụ giải nén báo lỗi
Một điểm thường bị hiểu nhầm là các tệp Zombie ZIP “bị hỏng”. Thực tế, dữ liệu bên trong vẫn hợp lệ, nhưng header được chỉnh sửa để không khớp với dữ liệu thực.
Các công cụ như WinRAR, 7-Zip hay unzip thường dựa vào metadata để xác định cách giải nén. Khi thông tin header không khớp với cấu trúc dữ liệu, chúng có thể báo lỗi CRC hoặc “unsupported method” và dừng quá trình giải nén. Điều này khiến tệp trông giống như bị lỗi.
Tuy nhiên, nếu sử dụng một chương trình loader tùy chỉnh bỏ qua thông tin header và giải nén trực tiếp dữ liệu bằng thuật toán Deflate, payload bên trong vẫn có thể được khôi phục hoàn chỉnh.
Các công cụ như WinRAR, 7-Zip hay unzip thường dựa vào metadata để xác định cách giải nén. Khi thông tin header không khớp với cấu trúc dữ liệu, chúng có thể báo lỗi CRC hoặc “unsupported method” và dừng quá trình giải nén. Điều này khiến tệp trông giống như bị lỗi.
Tuy nhiên, nếu sử dụng một chương trình loader tùy chỉnh bỏ qua thông tin header và giải nén trực tiếp dữ liệu bằng thuật toán Deflate, payload bên trong vẫn có thể được khôi phục hoàn chỉnh.
Những hiểu nhầm phổ biến về Zombie ZIP
Ba hiểu nhầm phổ biến gồm:
- Zombie ZIP là lỗ hổng của định dạng ZIP: thực tế đây là điểm yếu trong cách nhiều công cụ bảo mật xử lý metadata của archive.
- Kỹ thuật này “giấu” mã độc trong file ZIP: payload không bị ẩn hay mã hóa, mà chỉ bị phân tích sai định dạng.
- File ZIP bị hỏng hoàn toàn: dữ liệu thực vẫn hợp lệ, chỉ có metadata bị chỉnh sửa để gây nhầm lẫn.
Từ góc độ phân tích mã độc, Zombie ZIP là một ví dụ điển hình của parser confusion khi các chương trình khác nhau diễn giải cùng một tệp theo những cách khác nhau. Trong trường hợp này, công cụ bảo mật quét dữ liệu như dữ liệu thô, phần mềm giải nén phổ biến coi tệp là archive lỗi, trong khi một loader tùy chỉnh có thể giải nén payload hoàn chỉnh.
Trung tâm Điều phối Ứng cứu Sự cố Máy tính (CERT/CC) đã gán mã CVE-2026-0866 cho lỗi này và khuyến cáo các nhà phát triển phần mềm bảo mật không nên chỉ dựa vào metadata của archive mà cần kiểm tra tính nhất quán giữa header và dữ liệu thực.
Đối với người dùng và quản trị hệ thống, các chuyên gia khuyến nghị thận trọng với các tệp nén đến từ nguồn không rõ ràng, đặc biệt khi quá trình giải nén xuất hiện các lỗi bất thường như unsupported method hoặc CRC error.
Trung tâm Điều phối Ứng cứu Sự cố Máy tính (CERT/CC) đã gán mã CVE-2026-0866 cho lỗi này và khuyến cáo các nhà phát triển phần mềm bảo mật không nên chỉ dựa vào metadata của archive mà cần kiểm tra tính nhất quán giữa header và dữ liệu thực.
Đối với người dùng và quản trị hệ thống, các chuyên gia khuyến nghị thận trọng với các tệp nén đến từ nguồn không rõ ràng, đặc biệt khi quá trình giải nén xuất hiện các lỗi bất thường như unsupported method hoặc CRC error.
Tổng hợp
Chỉnh sửa lần cuối bởi người điều hành: