问题:伪装压缩包绕过检测,解压环节成为风险入口 网络安全研究人员近日披露,一类经过特定构造的ZIP文件可多种常见使用场景中形成安全盲区:安全引擎在初检时未能识别异常,而解压工具在用户操作下仍可将其中内容正常释放,进而为恶意程序落地、执行创造条件。该攻击样本因表现为“看似正常的ZIP文件”且具有较强迷惑性,被称作“Zombie ZIP”。CERT/CC已协调登记该问题为CVE-2026-0866,并发布风险提示,要求有关产品与安全体系尽快修正检测逻辑。 原因:利用文件头字段“伪装一致性”,诱导检测与校验链路失灵 业内分析认为,此类攻击的关键不在于传统意义上的“解压软件漏洞”,而在于攻击者对ZIP文件格式结构的精细操控:通过在文件头部压缩方法等字段上做文章,使部分安全产品在解析策略上产生错误假设,进而跳过深度检查。 据披露样本的技术特征看,攻击者将压缩方法字段设置为表示“未压缩”的取值,同时配合伪造校验相关信息,使得某些检测流程在“结构信息可信”的前提下,倾向于按普通数据流处理,未对真实内容进行更解码比对。,解压工具在面对结构与校验信息被“包装得更像正常文件”的样本时,仍可能按既定流程输出文件内容,导致隐藏载荷以“被解压出的正常文件”形式落地。换言之,攻击链条利用的是“格式解析—安全扫描—解压输出”之间的策略缝隙:安全侧轻信头部描述,工具侧照常提取,最终风险落到用户点击运行或系统自动关联打开等环节。 影响:对邮件、网盘、办公协作等高频场景构成现实威胁 压缩包是跨平台、跨系统的常用文件载体,广泛用于邮件附件、即时通讯传输、网盘分享以及企业协同办公流程。一旦攻击者以“报价单、合同、简历、项目资料”等名义投递伪装压缩包,极易在“收件—解压—查看”该高频路径中触发风险。相较于脚本或可执行文件直接投递,压缩包外观更“中性”,更容易绕过用户心理防线。 对企业机构而言,风险不止于单机中招。若终端被控制,攻击者可能进一步窃取凭据、横向移动、投放勒索软件,或借助被入侵主机对内网系统进行持续渗透,形成从“单点事件”向“系统性安全事故”的扩散。对普通用户而言,账户被盗、隐私泄露、网银风险与数据被加密勒索同样不可忽视。 对策:补齐解析与验证机制短板,强化“来源可信+隔离验证+最小权限” CERT/CC在通报中指出,该问题的处理重点在于检测引擎与解析组件应避免对ZIP头部信息形成“盲目信任”,需要将文件声明的压缩方式与实际数据特征进行交叉验证,并建立对结构异常压缩包的识别与拦截机制。业内认为,相关厂商需从三上加快修复与加固: 一是改进扫描策略。对压缩包内容应实施更严格的一致性校验,对“声明未压缩但呈现压缩数据特征”“校验信息与内容不匹配”等异常建立规则库与启发式检测,必要时进行深度解码分析。 二是完善解压与打开链路的安全控制。在终端侧推动“解压后落地文件再扫描”“危险后缀与宏文件告警”“受保护目录写入拦截”等联动策略,降低单点误判带来的系统性风险。 三是推进组织级防护体系建设。对政企用户而言,应在网关、邮件系统、终端防护与EDR等环节形成闭环:未知压缩包先进入隔离区,完成多引擎复核与沙箱检测后再放行;对关键岗位人员加强安全培训,建立“可疑附件不上线、可疑链接不点击”的日常规范。 在补丁尚未完全覆盖、规则更新存在时间差的情况下,用户侧也应采取更稳妥的自我防护措施:对来源不明ZIP附件保持审慎,避免启用自动解压或自动预览;确需查看时先离线扫描并在受限环境中打开,尽量避免在高权限账户下直接运行解压所得文件;重要数据应保持定期离线备份,降低勒索与破坏带来的不可逆损失。 前景:老手法“翻新”提示攻防对抗将更聚焦基础格式与链路细节 值得关注的是,CERT/CC指出该漏洞机制与早年编号为CVE-2004-0935的相关事件存在相似性。业内人士据此判断,攻击者正持续从“系统漏洞”转向“基础文件格式与处理链路”的边界问题,利用不同产品之间对标准的实现差异制造盲区。这也提醒产业界:网络安全不仅在于补丁响应,更在于对基础解析组件、格式标准实现、跨产品联动策略的长期治理。 未来一段时间,随着安全厂商更新引擎、完善规则并推动产品侧加固,“Zombie ZIP”类样本的直接命中率有望下降。但从攻防演进看,“老漏洞换包装、旧思路找新入口”仍将长期存在。各方需以此为契机,推动安全能力从“单点查杀”向“全链路验证与最小信任”升级,提升对结构异常、协议边界与内容一致性问题的系统识别能力。
“Zombie ZIP”事件再次提示,攻防的关键往往不在“多复杂的代码”,而在“多常见的入口”。当攻击者把目标对准日常最常用、也最容易被忽视的文件格式与默认流程,安全防线就必须从“是否查到病毒”延伸到“是否正确理解文件”。对机构和个人而言,应谨慎对待未知文件,减少自动化带来的暴露面;对产业而言,尽快补齐解析与验证短板,才能让这些“习以为常”的工具重新成为可靠防线。