问题—— 网络安全研究人员近日发现一种名为“Zombie ZIP”的压缩包伪装攻击手法。攻击者通过篡改ZIP文件的元数据字段,使其与实际数据不一致,导致部分安全产品扫描时无法识别真实内容,从而漏检恶意代码。目前,有关机构已发布安全公告(编号CVE-2026-0866),指出该手法具有较高的隐蔽性和危害性。 原因—— ZIP文件包含“压缩方式”等关键元数据字段,安全工具通常依赖这些字段进行解包和检测。“Zombie ZIP”的核心在于伪造这些字段:攻击者将压缩方式标记为“未压缩”,但实际内容却采用其他算法封装。如果安全工具仅依赖字段信息而未验证数据流结构,就可能误判文件安全性。 此外,攻击者还会篡改CRC校验等参数,使WinRAR、7-Zip等工具在解压时提示“数据损坏”。普通用户可能误以为是文件传输问题,而攻击者则通过定制加载器绕过这些“假错误”,直接释放恶意载荷。 影响—— 这种攻击手法的主要危害包括: 1. 规避安全检测,降低压缩包类威胁的防护效果; 2. 利用“解压报错”掩盖攻击行为,增加用户察觉难度; 3. 压缩包作为常见文件载体,可能对企事业单位的终端安全、供应链和数据安全造成连锁风险。 历史经验表明,类似“解析与信任边界”问题并非首次出现。相关机构指出,这与早年杀毒软件解析逻辑漏洞相似,说明文件格式解析仍是攻防对抗的薄弱环节。 对策—— 针对此类风险,行业建议从三上应对: 1. 产品侧:安全工具需加强一致性校验,对字段与数据流矛盾的情况提高告警级别,并优化解包策略,避免因解析失败而放行。同时,终端检测系统需监控压缩包落地后的行为链,结合异常特征进行分析。 2. 组织侧:企业应完善邮件网关和文件传输策略,对高风险压缩包进行隔离或沙箱检测,并规范“损坏文件”的处置流程。此外,需加强对常见文件投递渠道的审计。 3. 用户侧:提高对“解压报错”风险的认识,避免尝试打开来源不明的压缩包。文件交换应通过可信渠道,并在安全部门指导下完成检测。 前景—— 未来,围绕压缩包、文档等通用文件载体的攻防对抗将更加激烈。攻击者可能采用加密容器、多层嵌套等手段提升隐蔽性,而防守方需从格式解析升级为内容与行为联合验证,实现更全面的安全防护。漏洞公开后,供应商和社区的快速响应将成为遏制风险扩散的关键。
压缩包作为日常办公的常用文件,其安全风险容易被忽视。“Zombie ZIP”提醒我们,在攻防升级的背景下,安全防护不仅要关注内容是否恶意,还需警惕结构异常和链路可信度。只有将解析校验、异常识别与规范处置结合,才能在看似普通的文件中守住安全底线。