Klasik ZIP bombaları ve diğer arşiv tabanlı yöntemler, siber suçlulara uzun zamandır habersiz sistemlere kötü amaçlı yazılım bulaştırmak için uygun bir yol sağlıyor. Yeni belgelenen bir teknik ise daha da ileri giderek, neredeyse tüm kötü amaçlı yazılım önleme motorlarını atlatırken hedef bilgisayara kötü amaçlı bir yük ulaştırmayı başarıyor.
"Zombi ZIP" olarak bilinen bu yöntem, kötü amaçlı yazılımı kasıtlı olarak bozuk bir sıkıştırılmış arşivin içine gizler. Yaratıcılarına göre, çoğu antivirüs motoru şu anda bu tehdidi tespit edemiyor ve bu da saldırganlara yeni bir dağıtım mekanizması sağlıyor. Aynı zamanda, bazı araştırmacılar bu tekniğin bir güvenlik açığından ziyade, ZIP formatının orijinal olarak nasıl çalışacak şekilde tasarlandığının bir yan etkisi olduğunu savunuyor.
Yakın zamanda yayınlanan bir güvenlik bülteni, Zombie ZIP'in sıkıştırılmış verilerin gerçek doğasını gizlemek için hatalı biçimlendirilmiş bir arşiv başlığına dayandığını açıklıyor . ZIP başlıkları, arşivleme yöntemi, bayraklar ve arşivi açmak için gereken sürüm bilgileri de dahil olmak üzere, arşivleyiciler ve diğer yazılımlar tarafından dosyayı yorumlamak için kullanılan meta verileri içerir.
Zombie ZIP ile, başlık bölümündeki sıkıştırma yöntemi alanı kasıtlı olarak bozulmuştur. Bu nedenle 7-Zip ve WinRAR gibi araçlar arşivin nasıl sıkıştırıldığını belirleyemezken, antivirüs tarayıcıları dosyayı zararsız "sıkıştırılmış gürültü" olarak yorumlar. Gerçekte, içerik, PKZIP geliştiricisi Phil Katz tarafından 1990 yılında oluşturulan, onlarca yıllık kayıpsız algoritma olan Deflate kullanılarak sıkıştırılmış halde kalır.
Uzaktan erişim sağlayan bir saldırgan, Zombie ZIP'i kötüye kullanarak bozuk bir ZIP arşivi gibi gizlenmiş kötü amaçlı bir uygulamayı güvenli bir şekilde dağıtabilir ve potansiyel olarak tam bir antivirüs analizinden kaçınabilir. Bununla birlikte, gizli yazılımı çıkarmak, başlıkta belirtilen sıkıştırma yöntemini yok sayacak ve ham veri akışını doğrudan açacak şekilde tasarlanmış özel bir araç gerektirir.
Söz konusu "güvenlik açığı" şu anda CVE-2026-0866 olarak takip ediliyor. Yazarları, bu tekniğin VirusTotal üzerinden test edilen antivirüs motorlarının yaklaşık %98'i tarafından tespit edilemediğini iddia ediyor . Bitdefender, Kaspersky ve Microsoft Defender gibi büyük ürünlerin, araştırmacıların sıkıştırılmış dosyaları içeren basit ama etkili bir tehdit vektörü olarak tanımladığı bu hatalı arşiv dosyasını tespit edemediği bildiriliyor. Herkes bu konunun CVE (Kritik Karayip Kodu) statüsünü hak ettiğine katılmıyor.
Bazı kötü amaçlı yazılım analistleri, standart arşivleme araçları veri akışını yorumlayamıyorsa, dosyanın aslında özel bir çıkarma yöntemi gerektiren bozuk veya şifrelenmiş verilerden ibaret olduğunu savunuyor. Bu anlamda, parola korumalı ZIP arşivlerine benzer şekilde davrandığını söylüyorlar.
Carnegie Mellon Üniversitesi CERT Koordinasyon Merkezi'ndeki araştırmacılar, bazı çıkarma araçlarının yine de bozuk arşivi tanıyıp gömülü zararlı yazılımı açabildiğini belirtiyor. Antivirüs geliştiricilerinin sıkıştırılmış dosyaları tararken yalnızca beklenen meta veri yapılarına güvenmekten kaçınmalarını öneriyorlar. Her zaman olduğu gibi, kullanıcılar indirilen arşivlere, özellikle güvenilmeyen kaynaklardan gelenlere, dikkatli yaklaşmalıdır.
Kaynak :
https://www.techspot.com/news/111680-ne ... ivirus.htm
Bana COVID-19 uğrayamamış, bu mu? uğrayacak? Allah(c.c)'ın izni ile kendimizi/donanımızı koruruz inşallah...