Yeni ortaya çıkan “Zombie ZIP” yöntemi, kasıtlı olarak bozulmuş ZIP arşivleriyle zararlıyı saklayıp çok sayıda antivirüs ve EDR çözümünün taramasından kaçırabiliyor. CERT/CC 9 Mart 2026’da yayımladığı bültende olayı “arşiv tarayıcılarının hatalı negatif üretmesine yol açan” bir durum olarak kayıt altına aldı ve CVE-2026-0866 kimliğini verdi. İlk denemelerde VirusTotal’daki motorların büyük kısmının bu dosyaları temiz sandığı bildiriliyor.
Zombie ZIP nasıl çalışıyor?
Yöntemin püf noktası ZIP başlığındaki “Compression Method” alanını 0 (Stored) olarak göstermek ama arşivin içine aslında DEFLATE ile sıkıştırılmış veri koymak. Birçok güvenlik aracı başlığa güvendiği için içeriği açmadan “ham bayt” gibi tarıyor; sonuçta da sıkıştırılmış “gürültü” görüyor ve imza eşleşmesi bulamıyor. Standart çıkarma araçları olan 7-Zip’in veya WinRAR’ın denemesinde ise CRC/“unsupported method” hataları görülüyor. Araştırmacı Chris Aziz’in paylaştığı PoC, başlıktaki yöntemi yok sayan küçük bir yükleyiciyle verinin eksiksiz geri kazanılabildiğini gösteriyor.
Bu tekniğin ayrıntıları GitHub’daki PoC’de örnek dosyalar ve kısa bir Python yükleyici ile anlatılıyor. Aynı zararlı yük, geçerli bir ZIP’te tarandığında onlarca motor tarafından işaretlenirken; “method mismatch” içeren arşiv neredeyse tüm motorları atlatıyor.
Gerçekten bir “açık” mı? Tartışma ve geçmiş referanslar
CERT/CC, konuyu 2004’teki ESET ürününü etkileyen CVE-2004-0935 ile aynı sınıfta değerlendiriyor. Cisco tarafı (ClamAV) ise “taranamıyor” durumunu bir güvenlik açığı değil, sertleştirme önerisi olarak görüyor. Yani işletim sistemi veya çıkarma aracında uzaktan kod çalıştırma söz konusu değil; asıl problem tarayıcının yanlış sonuca varması.
Öte yandan bazı araştırmacılar, bozuk yapıdaki bu arşivlerin kullanıcı tarafında zaten açılamadığını; yükün çıkarılması için özel bir “loader” gerektiğini söyleyip CVE verilmesini eleştiriyor. Buna rağmen güvenlik zincirinin e‑posta ağ geçitleri, sandbox’lar ve uç nokta çözümlerinden oluşan katmanlarında “temiz” raporu alınabilmesi, yöntemi pratikte tehlikeli kılıyor.
Kurumsal risk ve alınabilecek önlemler
- Arşiv başlığındaki alanları (özellikle Method) gerçek içerikle karşılaştıran, tutarsızlıkları “şüpheli” olarak işaretleyen derin denetim modları isteyin/etkinleştirin. CERT/CC tam da bunu öneriyor.
- E‑posta ağ geçitleri ve dosya aktarım kanallarında bozuk/çıkarılamayan ZIP’leri karantinaya alın; “unsupported method” veya CRC hatası alan kullanıcıları dosyayı silmeleri için eğitin.
- Sandbox ve içerik ayrıştırma (CDR) politikalarını, çıkarma başarısız olsa bile arşiv yapısında tutarsızlık tespit edildiğinde alarm üretecek şekilde güncelleyin.
- PoC’deki karşılaştırmaya göre aynı yük, geçerli bir ZIP’te 55/67 motorda yakalanırken, Zombie ZIP’te 1/66 algılama görüldü; güvenlik yığınınızı bu örneklerle test edin.
Kısa özet: Zombie ZIP bir “tıklayınca sistem ele geçiren” açık değil; ama arşiv taramasına güvenen savunmaları yanıltan etkili bir saklama/kaçırma tekniği. Başlık bilgisine körü körüne güvenen çözümler, bu yöntemi uygulayan arşivleri temiz sanabiliyor. Kurumların, arşiv denetim mantığını güçlendirmesi ve şüpheli arşivleri agresif biçimde işaretlemesi gerekiyor.
Kaynak: www.techspot.com
