Блог

Все мы слышали о разрушительных бомбах, которые с шумом взрываются и оставляют после себя множество обломков. Но есть и другой тип бомб, который уже много лет используется хакерами для мошенничества. Не волнуйтесь. Это не настоящая, а виртуальная бомба, известная как Zip-бомба. Итак, что такое Zip-бомба, как она работает, как ее создать и, самое главное, как обезопасить себя? Сегодня мы ответим на все эти и другие вопросы — так что давайте приступим!

Что такое Zip-бомба?

Zip-бомба, также известная как Zip смерти, — это электронный файл, предназначенный для того, чтобы при распаковке привести систему в аварийное состояние или сделать данные недоступными.

При такой атаке злоумышленник отправляет другому пользователю мошеннический сжатый файл, часто замаскированный под безобидный документ или изображение. Этот файл содержит множество архивов, которые при распаковке получателем могут заполнить весь жесткий диск компьютера и значительно замедлить работу системы или даже вывести ее из строя из-за увеличения объема данных. Поэтому их еще называют бомбами распаковки.

Zip-бомбы существуют с 1990-х годов, но в наше время они получили широкое распространение благодаря тому, что киберпреступники используют этот метод для атак на ничего не подозревающих людей и компании. Для успешного применения Zip-бомбы жертва должна разархивировать файл, содержащий вредоносную нагрузку.

При обсуждении вопроса о том, вредны ли Zip-бомбы, есть две стороны. С одной стороны, некоторые считают, что Zip-бомбы — это эффективный инструмент для проведения распределенных атак типа «отказ в обслуживании» (DDoS) и нарушения работы крупных организаций. С другой стороны, многие утверждают, что эти атаки неэффективны и причиняют лишь незначительные неудобства по сравнению с другими видами вредоносных атак.

Независимо от мнения об эффективности Zip-бомб, важно понимать, как работают эти атаки, чтобы лучше защитить себя от них. В следующем разделе мы объясним, как работает атака с помощью Zip-бомбы.

Краткое изложение ключевых моментов

• Zip-бомба — это вредоносный файл очень маленького размера, но содержащий несколько уровней сжатия, которые при распаковке занимают очень много памяти на диске.
• Согласно исследованию Avast, более 35 % всех обнаруженных вредоносных программ в 2020 году были Zip-бомбами.

Как работает Zip-бомба?

Атака с помощью Zip-бомбы — это форма кибератаки, которая также используется для вывода из строя веб-сайтов и серверов. Она заключается в том, что злоумышленник создает и отправляет жертве вредоносный файл, сжатый до небольшого размера, но содержащий огромное количество данных.

Когда жертва распаковывает Zip-бомбу, компьютер пытается выделить память и ресурсы для размещения расширенных данных. В случае с Zip-бомбой объем распакованных данных значительно превышает доступные ресурсы компьютера, что приводит к сбоям в работе системы, замедлению работы или другим серьезным проблемам.

Например, Zip-бомба может содержать один файл, который очень велик, или множество маленьких файлов, которые распаковываются в огромный объем данных. В любом случае результат одинаков: ресурсы компьютера перегружаются, что приводит к проблемам с производительностью или даже сбоям в работе системы.

В некоторых случаях вредоносный файл может быть замаскирован под что-то безобидное, например под расширение .exe или .winzip, что облегчает его открытие. Атаки с использованием Zip-бомб могут осуществляться путем вложения зараженных файлов в электронные письма, загрузки их на форумы или веб-сайты. Поэтому пользователям бывает сложно распознать эти вредоносные файлы до их открытия.

Приведем пример известной Zip-бомбы — 42.zip. Это zip-файл, содержащий 42 килобайта сжатых данных и пять уровней вложенных zip-файлов в наборах по 16 штук, каждый из которых содержит 4,3 гигабайта, что в общей сложности составляет 4,5 петабайта несжатых данных. Таким образом, когда этот zip-файл отправляется, он может выглядеть как файл размером 42 КБ, но когда он будет извлечен, его реальный размер составит 42 ПБ.

Как создать Zip-бомбу?

Создание Zip-бомбы — это незаконное и крайне опасное действие, поскольку оно направлено на нанесение вреда ресурсам компьютера и может привести к повреждению зараженного ПК. Я настоятельно не рекомендую вам пытаться создавать Zip-бомбу.

Однако в образовательных целях мы покажем вам, как ее создать.

1. Откройте блокнот и начните вводить 0 (допустим, 1000 символов).
2. Копируйте нули и вставляйте их несколько раз по мере необходимости.
3. Как только вы почувствуете, что этого достаточно, сохраните файл и сделайте копии этого текстового файла (допустим, 10 файлов).
4. Создайте zip-файл с этими копиями текстовых файлов.
5. Сделайте копии созданного zip-файла.
6. Теперь создайте новый zip-файл с этими копиями zip-файлов.
7. Повторяйте шаги 5 и 6, пока не почувствуете, что этого достаточно.
8. Вот и все.

Помните, что каждый символ занимает 1 байт памяти. Таким образом, если в текстовом файле миллион нулей, то он занимает миллион байт памяти.

• 1 миллион байт / 1024 = 976,5 КБ, что составляет почти 1 МБ.
• Таким образом, каждый файл вмещает 1 МБ данных, а 10 файлов — 10 МБ.

Но zip-файл, состоящий из 10 файлов и сжатый, будет иметь только сжатый размер скажем, 1,5 МБ. При расширении он будет иметь реальный размер 10 МБ.

Таким образом, один zip-файл будет содержать 1,5 МБ данных. Сделайте столько копий и столько архивов, сколько вам нужно.

Защита от атак с использованием Zip-бомб

Хотя от атаки Zip-бомбы сложно защититься из-за небольшого размера файла, меры все же можно принять. Одним из наиболее распространенных шагов является увеличение ограничения на размер входящего файла по сравнению с настройками по умолчанию. Организациям и администраторам следует установить порог размера, соответствующий типу файлов, которые обычно используются или совместно используются в их сетях. Это поможет предотвратить прохождение вредоносных Zip-бомб мимо проверок безопасности, поскольку большие zip-файлы не могут быть приняты, если установлен меньший порог размера.

Некоторые организации также устанавливают автоматические сканеры вредоносных программ в критически важных точках сети, таких как шлюзы почтовых серверов или фильтры веб-браузеров. Эти инструменты ищут подозрительный код или шаблоны во входящих файлах и блокируют все потенциально вредоносные запросы с минимальными усилиями для человека. Хотя этот метод может снизить шансы злоумышленника на успешную доставку Zip-бомбы, он требует значительных системных ресурсов и может оказаться неэффективным при неправильной настройке.

Попробуйте использовать антивирусное программное обеспечение для проверки на наличие вредоносного содержимого перед открытием файла. Сканирование с помощью антивирусных программ — один из самых эффективных методов предотвращения атак с использованием Zip-бомбы. В целом, эти программы предназначены для обнаружения вредоносных файлов и программ в компьютерной системе, а затем их удаления с компьютера до того, как данные могут быть скомпрометированы или затронуты. Это касается и обнаружения любой атаки Zip-бомб. Даже если пользователь неосознанно загружает зараженный zip-файл, антивирусное программное обеспечение должно обнаружить его и принять соответствующие меры для защиты системы.

Еще один совет — распаковать подозрительный файл с помощью специализированных программ, таких как 7-zip, которые известны эффективным распаковыванием сжатых файлов. Наконец, если вы подозреваете, что файл содержит Zip-бомбу, но не можете определить его содержимое, не распаковывая его, подумайте об использовании методов эмуляции, таких как «песочница». Это изолирует программу от других приложений, создавая изолированную среду, и позволяет программам обнаружения вредоносного ПО выявить вредоносную активность до того, как она начнет действовать.

Соблюдение основных мер предосторожности, таких как использование антивирусного программного обеспечения и отказ от ненадежных источников загрузки, поможет снизить уязвимость организации или отдельного человека к атакам. Хотя эти меры не могут полностью исключить попадание вредоносного содержимого в систему с помощью Zip-бомбы, при правильном применении они могут создать несколько уровней защиты, которые значительно снижают вероятность успеха злоумышленника.

Последствия атак с использованием Zip-бомб

Атаки с использованием Zip-бомб могут иметь разрушительные последствия. При таких атаках злоумышленники создают вредоносные файлы, которые при распаковке могут за считанные секунды заполнить весь жесткий диск тысячами файлов. Такие атаки особенно опасны для компаний, поскольку они могут привести к сбоям в работе системы, снижению производительности и нарушению работы из-за нехватки свободного места для хранения данных. Более того, поскольку в большинстве случаев защититься от подобных кибератак очень сложно, они могут представлять серьезную угрозу для организаций и их данных.

С другой стороны, некоторые считают, что Zip-бомбы не всегда так разрушительны, как могли бы быть. Например, в наши дни многие современные устройства имеют определенный объем памяти, предназначенный для хранения больших загрузок, таких как видео или музыкальные альбомы. Таким образом, если злоумышленник попытается запустить Zip-бомбу на вашем устройстве, большой файл будет заблокирован до того, как он сможет расшириться и нарушить ограничения памяти устройства. Поэтому важно помнить об этой особенности, когда речь идет об опасности Zip-бомб.

В целом, последствия таких атак могут быть серьезными, если их не предотвратить. Однако, как правило, пользователи принимают меры предосторожности и соблюдают рекомендации по безопасности, изложенные поставщиками услуг или программного обеспечения. В этом случае можно избежать опасности, которую представляют собой zip-бомбы.

Заключение

Может быть, мы и создали Zip-бомбу, но знаете ли вы, что теперь она бесполезна? Узнайте причину, по которой я называю ее бесполезной.

В старые времена у приложений для сжатия была функция под названием «рекурсивная декомпрессия». Рекурсивная декомпрессия означает многократную распаковку вложенных архивных файлов, пока все файлы не будут извлечены. В этом процессе извлекается сжатый архивный файл, и если любой из извлеченных файлов также является архивным файлом, он также распаковывается. Этот процесс повторяется до тех пор, пока все файлы не будут распакованы и не перестанут быть архивными файлами.

Zip-бомба была создана специально для таких приложений. Но сейчас большинство современных приложений не используют рекурсивную распаковку из-за Zip-бомб. Даже сегодня большинство типичных устройств хранения данных (например, жесткий диск вашего компьютера) работают медленно. В результате запись значительного объема данных на устройство хранения займет много времени. Тот, кто медленно распаковывает Zip-бомбу, заметит это и просто перестанет это делать. Таким образом, Zip-бомба может оказаться бесполезной, если только приложение не использует рекурсивную распаковку.