تقنية Zombie ZIP: التقنية التي تُعطّل جميع برامج مكافحة الفيروسات تقريبًا

  • يسمح برنامج Zombie ZIP بإخفاء البرامج الضارة في ملفات ZIP متنكرةً في هيئة محتوى شرعي.
  • في الاختبارات التي أجريت على 51 برنامجًا لمكافحة الفيروسات، لم يكتشف التهديد بشكل صحيح سوى برنامج واحد.
  • تستغل هذه التقنية الثقة في بيانات تعريف ملفات ZIP وتخدع محرك التحليل.
  • أصدر مركز تنسيق الاستجابة للطوارئ الحاسوبية (CERT/CC) تنبيهًا رسميًا وخصص الرمز CVE-2026-0866.
Alberto Navarro

9 دقيقة

ملف Zombie Attack ZIP مضغوط

أسلوب هجوم جديد يسمى لقد دخلت تقنية Zombie ZIP بقوة إلى رادار الأمن السيبرانييُظهر هذا أن حتى أكثر برامج مكافحة الفيروسات انتشارًا يمكن خداعها بسهولة نسبية. تستغل هذه الطريقة كيفية قراءة أجهزة الكمبيوتر للمعلومات لإخفاء برمجيات خبيثة داخل ملف مضغوط يبدو، للوهلة الأولى، طبيعيًا تمامًا.

الأمر المقلق في هذا هو أن هذا ليس عيبًا تم اكتشافه حديثًا، بل حيلة قديمة تعود بقوة.على الرغم من أن المشاكل المماثلة معروفة منذ أكثر من عقدين، إلا أن العديد من محركات مكافحة الفيروسات الحالية لا تزال تقع في الفخ عند مواجهة ملفات ZIP "الوهمية".

ما هو برنامج Zombie ZIP تحديداً، ولماذا يثير كل هذا القلق؟

Zombie ZIP هو الاسم الذي أُطلق على تقنية لإخفاء البرامج الضارة داخل الملفات المضغوطة بصيغة .zipلذا، تفسره معظم برامج الحماية على أنه ملف غير ضار. إنه ليس نوعًا جديدًا من الفيروسات، بل طريقة ذكية للغاية لتغليفه.

يُعزى هذا الاكتشاف إلى كريس عزيز، باحث في شركة بومباديل سيستمز للاستشارات الأمنيةقام هذا الشخص بتوثيق كيفية عمل هذه الحيلة واختبرها ضد عشرات من حلول مكافحة الفيروسات التجارية. وقد أثار عمله مخاوف في أوساط الصناعة ومجتمع الاستجابة للحوادث.

المضمون، يتصرف ملف ZIP المُعدّل كحاوية وهمية.تقوم أنظمة الأمان بتحليله، ولا تجد أي شيء غير عادي نظرياً، فتمنحه الضوء الأخضر. ومع ذلك، يخفي بداخله برمجيات خبيثة لا يمكن استخراجها بشكل صحيح إلا بواسطة شاحن متخصص.

هذا السيناريو مثير للقلق بشكل خاص بالنسبة لـ المستخدمون المحليون والشركات الأوروبية والإدارات العامةحيث يعتبر تبادل ملفات ZIP عبر البريد الإلكتروني أو الرسائل المؤسسية أو المستودعات الداخلية ممارسة يومية وموثوقة بشكل عام.

كيف يعمل برنامج Zombie ZIP

كيف يخدع برنامج مكافحة الفيروسات ملفات ZIP الزومبي

لفهم الفخ، عليك أن تنظر إلى كيف تقرأ برامج مكافحة الفيروسات الملفات المضغوطةتعطي هذه البرامج الأولوية للسرعة: فعندما تجد ملف ZIP، فإنها تنظر أولاً إلى العلامات والبيانات الوصفية التي تشير إلى طريقة الضغط المستخدمة ونوع المحتوى، ومن ثم تقرر كيفية تحليله.

مفتاح ملف Zombie ZIP موجود في إخبار برنامج مكافحة الفيروسات بأن بيانات الملف غير مضغوطة، بينما هي في الواقع مضغوطة.يُصنّف الملف كما لو كان يحتوي على بيانات خام (غير مضغوطة)، على الرغم من أنه يستخدم أساليب ضغط قياسية داخليًا. يتوقع محرك الأمان العثور على نص عادي أو رمز، لكنه يواجه تسلسلًا لا يفهمه لأنه لا يزال مضغوطًا.

عند هذه النقطة، تتفاعل العديد من المحركات بطرق مفاجئة: يفترضون أنها بيانات غير مرغوب فيها أو ملف تالف، ويستنتجون أنه لا يوجد تهديد.بمعنى آخر، لا يتعمق النظام أكثر من ذلك ويقبل جزءًا يخفي في الواقع برامج ضارة.

بالنسبة للمستخدم، الوضع غير واضح تمامًا أيضًا. عند محاولة فتح ملف ZIP باستخدام أدوات شائعة مثل WinRAR أو 7-Zip، من الشائع حدوث ما يلي: يعرض البرنامج خطأ في فك الضغط أو يشير إلى أن الملف تالفالشيء المعقول الذي يجب فعله هو افتراض أن الملف تم تنزيله بشكل غير صحيح وحذفه دون مزيد من التأخير.

لكن هذا هو المكان الذي يبدأ فيه الأمر أداة التحميل المحددة التي تصاحب الهجومتم تصميم هذا المكون لتفسير البنية المعدلة لملف ZIP بشكل صحيح، واستخراج المحتوى الضار، وتنفيذه على نظام الضحية، حتى في حالة فشل التطبيقات العادية في فتح الملف.

نتائج الاختبار: تم اختبار 51 برنامجًا لمكافحة الفيروسات

لقياس مدى خطورة تقنية Zombie ZIP، قامت شركة Bombadil Systems بإخضاع هذه التقنية لـ مجموعة من الاختبارات على 51 حلاً مختلفاً لمكافحة الفيروسات، بما في ذلك المنتجات المستخدمة على نطاق واسع في البيئات المنزلية والشركات على حد سواء.

لا ترسم النتائج صورة جيدة جداً للصناعة: لم يكتشف 50 من أصل 51 برنامجًا لمكافحة الفيروسات تم تقييمها التهديد المخفي في ملف ZIP.قاموا بتحليل الملف، وتعاملوا مع البيانات الوصفية التي تم التلاعب بها، وخلصوا إلى أنه لا يوجد شيء خطير، على الرغم من وجود برامج ضارة.

لم ينجح سوى منتج أمني واحد في تحديد وجود خلل ما في بنية الملفات و إحباط محاولة التمويهأما البقية فقد سمحت بذلك دون إطلاق تنبيهات، مما يفتح نافذة هجوم مغرية للغاية لأي مجرم إلكتروني ذي مستوى متطور بشكل طفيف.

تؤكد شركة بومباديل سيستمز نفسها على ذلك لا تتطلب هذه التقنية معرفة متقدمة للغاية لإعادة إنتاجها.نشر الباحث ملفات إثبات المفهوم على GitHub، حتى يتمكن متخصصو الأمن الآخرون من التحقق من المشكلة بشكل مباشر، ولكن هناك أيضًا خطر من أن يقوم فاعلون خبيثون بنسخ النهج لاختباره على منتجات محددة.

في البيئات الأوروبية، حيث تعتمد العديد من المنظمات على مزيج من حلول مكافحة الفيروسات التجارية، والحلول المجانية، والأدوات المدمجة في نظام التشغيليسلط هذا النوع من الاختبارات الضوء على الحاجة إلى مراجعة طبقات الدفاع وعدم الاعتماد فقط على حل واحد.

ملف Zombie Warning Zombie Warning ZIP و CVE-2026-0866

تنبيه رسمي: CVE-2026-0866 وإشعار فريق الاستجابة لحوادث أمن الحاسوب (CERT)

أدى التأثير المحتمل لـ Zombie ZIP إلى مركز تنسيق فرق الاستجابة للطوارئ الحاسوبية (CERT/CC) وقد بدأت وكالات أخرى للاستجابة لحالات الطوارئ المتعلقة بالأمن السيبراني بالفعل في معالجة هذه المشكلة. وقد تم تصنيف هذه التقنية رسميًا تحت المعرف CVE-2026-0866وهذا يسمح لنا بتتبع تطوره وتنسيق التصحيحات والتدابير التخفيفية.

ويشير الخبراء إلى أن نحن لا نواجه ثغرة أمنية جديدة تماماً.في الواقع، لوحظت أوجه تشابه واضحة مع مشكلة تم توثيقها منذ أكثر من عشرين عامًا وتم تسجيلها على النحو التالي: CVE-2004-0935، ويتعلق ذلك أيضاً بالطريقة التي يتم بها تفسير البنية الداخلية للملفات المضغوطة.

يُظهر تكرار الأنماط أن تميل بعض عيوب التصميم وافتراضات الثقة إلى الاستمرار في الظهور. في محركات مكافحة الفيروسات وفي المكتبات التي تتعامل مع ملفات ZIP. التاريخ، بطريقة ما، يعيد نفسه: تقبل منتجات الأمان المعلومات التي يُعلنها الملف دون التحقق بالتفصيل مما إذا كانت مطابقة للواقع.

يحث فريق الاستجابة لحوادث أمن الحاسوب (CERT) مصنعي ومطوري برامج الأمان على توقف عن الاعتماد بشكل كبير على التصنيفات والبيانات الوصفية التي ترافق الملفات المضغوطة. التوصية واضحة: تطبيق آليات تحلل البنية الفعلية لملف ZIP، وتتحقق من التطابق بين ما هو مُعلن وما هو موجود بداخله، وترفض أو تُصنف على أنها مشبوهة في أي حالة لا يتحقق فيها هذا التطابق.

يؤثر هذا التحذير بشكل مباشر على سوق الأمن السيبراني الأوروبي، حيث تعتمد العديد من الشركات والهيئات العامة على حلول تشترك في المحركات أو المكتبات مع المنتجات التي تم تحليلها. قم بتحديث هذه التقنيات وتصحيح الاعتماد المفرط على البيانات الوصفية سيكون هذا الأمر أساسياً لتقليل مساحة الهجوم المرتبطة بـ Zombie ZIP.

لماذا تُعتبر ملفات ZIP هدفًا مغريًا للمهاجمين؟

وبغض النظر عن خدعة Zombie ZIP المحددة، فإن نجاح هذه التقنية له علاقة كبيرة بـ الاستخدام المكثف لملفات ZIP في الحياة الرقمية اليوميةتُستخدم هذه الأدوات لإرسال المستندات عبر البريد الإلكتروني، ومشاركة الصور ومقاطع الفيديو، وتوزيع البرامج، وإرفاق التقارير والمشاريع... في أي بيئة تقريبًا.

ملف ZIP، في نهاية المطاف، ليس أكثر من مجرد حاوية مضغوطة تجمع عدة ملفات أو مجلدات في ملف واحد، مما يقلل حجمه ويسهل إرساله. هذه الطبيعة الشائعة تدفع العديد من المستخدمين، في أوروبا وغيرها، إلى التراخي في الحذر عند تلقي رسالة كهذه، خاصةً إذا بدت وكأنها واردة من جهة اتصال موثوقة أو شركة معروفة.

يعرف مجرمو الإنترنت هذا الأمر ويستغلونه منذ سنوات من خلال حملات التصيد الاحتيالي، ورسائل البريد الإلكتروني الاحتيالية، والتنزيلات من مواقع الويب المخترقةيضيف برنامج Zombie ZIP إلى هذا السيناريو لمسة جديدة: فهو لا يستغل فقط عادة الثقة في ملفات ZIP، بل يستغل أيضًا الثقة التي تضعها برامج مكافحة الفيروسات نفسها في البنية المعلنة للملف.

في بيئات الشركات الأوروبية، حيث من الشائع تلقي ملف مضغوط يحتوي على كشوف رواتب مضغوطة، أو فواتير، أو عقود، أو نسخ احتياطية.إن قدرة المهاجم على إدخال ملف يبدو غير ضار ويجتاز جميع الفحوصات تفتح الباب أمام الإصابات التي قد تنتهي بسرقة البيانات أو تشفير النظام أو نشر برامج الفدية.

إن الجمع بين الهندسة الاجتماعية (خداع المستخدم) والتلاعب التقني بالملف (خداع برنامج مكافحة الفيروسات) يجعل برنامج Zombie ZIP أداة جذابة بشكل خاص للجماعات الإجرامية التي تسعى إلى زيادة فرص نجاحها إلى أقصى حد دون الحاجة إلى استغلال نقاط الضعف المتطورة للغاية.

توصيات لمصنعي ومستخدمي برامج مكافحة الفيروسات

تعتمد مقترحات التخفيف على مستويين. من جهة، تقع المسؤولية الأساسية على عاتق مطوري حلول الأمن.يحتاجون إلى مراجعة كيفية معالجتهم لملفات ZIP وغيرها من الصيغ المضغوطة. لقد ثبت أن الاعتماد الأعمى على البيانات الوصفية غير كافٍ.

ويوصي الخبراء بأن تقوم محركات التحليل بمقارنة المعلومات المعلنة مع البنية الفعلية من الملف، بل وحتى محاولة تفسير محتواه حتى لو ذكر رأس الملف أنه غير مضغوط. أي تناقض يستدعي إجراء مزيد من التحليل أو تصنيف الملف على أنه مشبوه.

من ناحية أخرى، على الرغم من أن الحل النهائي يعتمد على هذه التحديثات التقنية، يمكن للمستخدمين أيضاً اتخاذ بعض الاحتياطات. لتقليل خطر مواجهة ملف Zombie Zip يعمل في حياتك اليومية.

  • احذر من ملفات ZIP من مرسلين مجهولين. أو التي لم تكن متوقعة، على الرغم من أنها تبدو رسائل مشروعة.
  • تجنب تنزيل المرفقات المضغوطة من الروابط المشبوهةالإعلانات أو النوافذ المنبثقة.
  • حافظ على تحديث برنامج مكافحة الفيروسات ونظام التشغيل الخاص بكحتى يتمكنوا من دمج التحسينات في الكشف بمجرد توفرها.
  • تحقق من مصدر الملفات المضغوطة عندما تنشأ هذه الرسائل من خدمات الحوسبة السحابية، أو بوابات الشركات، أو الكيانات الرسمية المزعومة.

في المنظمات الأوروبية، يُنصح باستكمال هذه التدابير بـ سياسات تصفية المرفقات الداخلية، والتدريب الأساسي على الأمن السيبراني، وتقسيم الشبكةبحيث لا يتمكن ملف ZIP خبيث من التسلل بحرية تامة للانتشار أو الوصول إلى الأنظمة الحيوية.

تُبرز ظاهرة Zombie ZIP بأكملها مدى تأثيرها تستمر التهديدات الرقمية في التكيف مع نقاط الضعف في الدفاعات الحالية.كان تعديل بسيط في كيفية تسمية الملفات المضغوطة كافياً لكشف معظم برامج مكافحة الفيروسات التي تم تحليلها، مما يذكرنا بأن حتى التنسيقات الروتينية ظاهرياً يمكن أن تكون بمثابة وسيلة للهجمات المعقدة إذا تم استغلال التفاصيل التقنية الصحيحة.