ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับเทคนิครูปแบบใหม่ ชื่อว่า “Zombie ZIP” ซึ่งสามารถใช้ซ่อน payload ภายในไฟล์ ZIP ที่ถูกสร้างขึ้นเป็นพิเศษเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย เช่น โปรแกรม Antivirus และระบบ Endpoint Detection and Response (EDR)
1. รายละเอียดของเทคนิค
นักวิจัยด้านความปลอดภัยจากบริษัท Bombadil Systems ได้เผยแพร่เทคนิครูปแบบใหม่ ชื่อว่า “Zombie ZIP” ซึ่งเป็นวิธีการดัดแปลงโครงสร้างของไฟล์ ZIP ให้ข้อมูลใน header ไม่สอดคล้องกับข้อมูลจริงภายในไฟล์ เช่น การกำหนดค่า Compression Method เป็น STORED (0) ซึ่งหมายถึงข้อมูลไม่ได้ถูกบีบอัด ทั้งที่ข้อมูลจริงถูกบีบอัดด้วยอัลกอริทึม DEFLATE ส่งผลให้ระบบ Antivirus หรือ Endpoint Detection and Response (EDR) ที่อาศัยข้อมูลใน header ในการประมวลผลไฟล์ ทำการสแกนข้อมูลแบบ raw bytes โดยไม่ทำการคลายการบีบอัดก่อน จึงอาจไม่สามารถตรวจพบ payload ที่ซ่อนอยู่ภายในไฟล์ได้ [1]
เทคนิคดังกล่าวได้รับการกำหนดรหัสช่องโหว่เป็น CVE-2026-0866 และมีการเผยแพร่บันทึกช่องโหว่โดย CERT Coordination Center ภายใต้หมายเลข VU#976247 [2]
ทั้งนี้ลักษณะของช่องโหว่ดังกล่าวมีความคล้ายคลึงกับช่องโหว่ CVE-2004-0935 (VU#968818) ซึ่งเกี่ยวข้องกับการใช้ไฟล์ ZIP ที่มีโครงสร้างผิดปกติเพื่อหลบเลี่ยงการตรวจจับของโปรแกรม Antivirus โดยอาศัยการที่ระบบตรวจสอบไฟล์เชื่อถือข้อมูล metadata ภายใน archive มากเกินไป ทำให้ไม่สามารถวิเคราะห์เนื้อหาที่แท้จริงภายในไฟล์ได้อย่างถูกต้อง [3]
2. กลไกการทำงานทางเทคนิคของ Zombie ZIP
การทดสอบโดยนักวิจัยบนแพลตฟอร์ม VirusTotal พบว่าไฟล์ที่สร้างด้วยเทคนิค Zombie ZIP สามารถหลบเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสได้ในอัตราสูง โดยไฟล์ตัวอย่างที่มี payload เดียวกัน เมื่อบรรจุอยู่ในไฟล์ ZIP ปกติ ไฟล์ดังกล่าวสามารถถูกตรวจจับได้โดยระบบตรวจจับมัลแวร์มากกว่า 50 ระบบ แต่เมื่อมีการดัดแปลง header ให้เป็น Zombie ZIP กลับถูกตรวจจับได้เพียง 1 ระบบ จากระบบตรวจจับมัลแวร์มากกว่า 50 ระบบ ทั้งนี้ เครื่องมือแตกไฟล์ทั่วไป เช่น 7-Zip หรือ WinRAR มักจะแสดงข้อผิดพลาดหรือไม่สามารถแตกไฟล์ได้อย่างสมบูรณ์ เนื่องจากค่า compression method และค่า CRC ไม่สอดคล้องกับข้อมูลจริงภายในไฟล์ [4]
3. โปรแกรม Antivirus ที่ได้รับผลกระทบจากเทคนิคของ Zombie ZIP
3.1 Microsoft (Microsoft Defender)
3.2 Avast
3.3 Bitdefender
3.4 ESET
3.5 Kaspersky
3.6 McAfee
3.7 Sophos
3.8 Trend Micro
4. แนวทางการแก้ไข
4.1 ตรวจสอบ compression method ใน ZIP header เทียบกับลักษณะข้อมูลจริง
4.2 เพิ่มกลไกตรวจจับความผิดปกติของโครงสร้างไฟล์บีบอัด
4.3 ใช้โหมด Deep Archive Inspection เพื่อตรวจจับมัลแวร์ที่ซ่อนอยู่ภายในไฟล์บีบอัด
4.5 ไม่พึ่งพา metadata ในไฟล์เพียงอย่างเดียว
4.6 เพิ่ม heuristic detection สำหรับ malformed archive
4.7 อัปเดต Antivirus และ EDR ให้เป็นเวอร์ชันล่าสุด และติดตามคำแนะนำจากผู้ผลิตผลิตภัณฑ์ด้านความปลอดภัย
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 ควรหลีกเลี่ยงการเปิดไฟล์บีบอัดจากแหล่งที่ไม่น่าเชื่อถือ
5.2 บล็อกหรือ quarantine ไฟล์ archive ที่มีโครงสร้างผิดปกติ
5.3 เฝ้าระวังไฟล์ที่แตกแล้วเกิดข้อผิดพลาด เช่น unsupported method
5.4 ตรวจสอบพฤติกรรมของโปรแกรมที่พยายามคลายข้อมูล archive แบบ programmatic
5.5 ใช้ sandbox หรือระบบวิเคราะห์มัลแวร์ก่อนเปิดไฟล์
6. แหล่งอ้างอิง