กลายเป็นประเด็นร้อนในแวดวงไซเบอร์ซีเคียวริตี้ เมื่อมีการค้นพบเทคนิคใหม่ที่ชื่อว่า Zombie ZIP ซึ่งช่วยให้แฮกเกอร์สามารถส่งของแถมอันตรายเข้าเครื่องเหยื่อได้ โดยที่โปรแกรมแอนตี้ไวรัสส่วนใหญ่ตรวจไม่เจอ งานนี้เรียกได้ว่าเป็นการปลุกผีไฟล์ ZIP ให้กลับมาน่ากลัวอีกครั้ง
Zombie ZIP คืออะไร? ทำไมถึงแสบ.. ปกติแล้วเวลาเราบีบอัดไฟล์เป็น .zip ตัวไฟล์จะมีส่วนที่เรียกว่า Header ซึ่งเปรียบเสมือนใบปะหน้า บอกซอฟต์แวร์ว่าไฟล์นี้บีบอัดมาด้วยวิธีไหน ต้องใช้อะไรแกะออก
แต่เจ้า Zombie ZIP ใช้วิธีจงใจ ทำให้ข้อมูลใน Header ผิดเพี้ยนไปครับ ผลที่ได้คือ
– Antivirus งง เมื่อโปรแกรมสแกนมาเจอไฟล์นี้ มันจะอ่านค่าไม่ออกและมองว่าเป็นแค่ขยะข้อมูล ที่ไม่มีอันตราย เลยปล่อยผ่านไปแบบเนียนๆ
– โปรแกรมแตกไฟล์ทั่วไปเปิดไม่ได้ แม้แต่ 7-Zip หรือ WinRAR ก็จะมองว่าไฟล์นี้เสีย (Corrupted) ทำให้ดูเหมือนไฟล์ที่ใช้งานไม่ได้จริงๆ
ความน่ากลัวอยู่ตรงที่ แม้ใบปะหน้าจะเสีย แต่ไส้ในของมัลแวร์ยังถูกบีบอัดด้วยอัลกอริทึมมาตรฐานอย่าง Deflate (เทคโนโลยีตั้งแต่ปี 1990) ซึ่งถ้าแฮกเกอร์ใช้เครื่องมือพิเศษที่สร้างมาเฉพาะเพื่อข้ามการอ่าน Header ที่เสียไป พวกเขาก็จะสามารถดึงมัลแวร์ออกมาใช้งานบนเครื่องเหยื่อได้ทันที
จากการทดสอบผ่าน VirusTotal พบว่า Zombie ZIP สามารถหลบหลีกการตรวจจับได้สูงถึง 98% แม้แต่ยักษ์ใหญ่อย่าง Microsoft Defender, Bitdefender หรือ Kaspersky ก็ยังสอบตกในเคสนี้
อย่างไรก็ตาม เรื่องนี้ยังมีข้อถกเถียงกันอยู่ครับ นักวิเคราะห์บางส่วนมองว่ามันไม่ใช่ช่องโหว่ความปลอดภัย โดยตรงแต่มันคือไฟล์เสียมากกว่า เพราะถ้าเครื่องมือมาตรฐานเปิดไม่ได้ แฮกเกอร์ก็ต้องหลอกให้เหยื่อใช้เครื่องมือเฉพาะทางในการรันไฟล์อยู่ดี ซึ่งมันก็คล้ายกับการใส่รหัสผ่านไฟล์ ZIP ที่แอนตี้ไวรัสสแกนไม่เข้าเช่นกัน
ส่วนตัวมองว่า ถึงแม้ผู้เชี่ยวชาญจะถกเถียงกันเรื่องนิยาม แต่นี่คือสัญญาณเตือนที่น่าสนใจครับ เพราะมันสะท้อนว่าแอนตี้ไวรัสที่เราไว้ใจอาจจะมีจุดบอดง่ายๆ เพียงเพราะมันเชื่อ ข้อมูลใน Header มากเกินไป
คำแนะนำเพิ่มเติม หากใครกลัวไวรัสตัวนี้
– อย่าชะล่าใจกับไฟล์ที่ขึ้นว่า Corrupt ถ้าโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือแล้วเปิดไม่ได้ อย่าพยายามหาโปรแกรมแปลกๆ มาฝืนเปิด เพราะนั่นอาจจะเป็นกับดัก
– อัปเดตซอฟต์แวร์สม่ำเสมอ ตอนนี้ทาง CERT Coordination Center ได้แจ้งเตือนเหล่านักพัฒนาแอนตี้ไวรัสให้ปรับปรุงวิธีการสแกนแล้ว อีกไม่นาน Patch ป้องกันก็น่าจะตามมาครับ
ที่มา
