Термин «Zip-бомба» был придуман более десяти лет назад, равно как и сами ZIP-бомбы. Принцип работы таких архивов очень прост: в сжатом виде это обычный, не вызывающий подозрений файл, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя.

К примеру, здесь, можно найти файл 42.zip, в сжатом виде занимающий всего 42 килобайта, но после распаковки он будет занимать в памяти более 4,5 петабайт (4 503 599 626 321 920 байт).

Раньше ZIP-бомбы использовались для самых разных целей, от обыкновенного троллинга, до умышленного вывода из строя антивирусов. И хотя современные защитные решения давно научились распознавать такие файлы и даже предупреждают пользователя об опасности, тем же не могут похвастаться браузеры и сканеры уязвимостей, такие как Nikto, SQLMap и так далее.

Картина, знакомая любому администратору: сотни неудавшихся попыток входа в систему

Учитывая эту особенность, австрийский ИБ-специалист Кристиан Хашек (Christian Haschek) предложил использовать ZIP-бомбы во благо, обращая их против злоумышленников. Для этого исследователь написал два небольших PHP-скрипта, которые определяют подозрительные user-agent. Так, если злоумышленники пытаются использовать сканер уязвимостей, или через браузер запрашивают доступ к защищенным или приватным страницам (бэкэнду, панели администрирования, страницам, содержащим формы регистрации и входа), скрипты подменяют обычное содержимое страницы ZIP-бомбой. Как только клиент атакующего получит такой архив, злоумышленника ждет неизбежный аварийный отказ.

Хашек успешно протестировал свою методику на бразуерах IE11, Chrome, Edge, Safari и Chrome для Android, а также сканерах SQLmap и Nikto. Во всех случаях получение ZIP-бомб приводило к краху и многочисленным ошибкам. Лишь Nikto, казалось бы, продолжил работать, но выяснилось, что никакого результата такое сканирование не приносит.

Все подробности и PHP-скрипты можно найти в блоге специалиста. Кроме того, Хашек создал специальную демонстрационную страницу, где любой желающий может опробовать ZIP-бомбу на себе. По последней ссылке рекомендуем переходить с осторожностью.



10 комментариев

  1. Themistocles

    08.07.2017 at 21:52

    Не сочтут ли это превышением необходимой защиты? Что скажут юристы?

  2. Kakoluk

    08.07.2017 at 22:47

    >> Не сочтут ли это превышением необходимой защиты? Что скажут юристы?
    Когда на повестке дня всплывает вопрос «быть, или не быть» — почти вcе отвечают одинаково(кроме наголову ёбнутых маргиналов). Конечно «быть». Чёрт возьми…

  3. Vlад

    09.07.2017 at 12:25

    «По последней ссылке рекомендуем переходить с осторожностью.»
    — — —
    Это как…
    Выставить пику, прикрыться щитом, ступать с оглядкой… ?
    (и что будет, если все-таки ‘прокололся’)

  4. Vanoles

    09.07.2017 at 18:12

    Насчет последней ссылки, а если реально нажать не на ту кнопку, ну или «ой какое прикольное словечко — freezy». Что будет если активировать демонстрацию?

  5. r0b0t1x

    10.07.2017 at 16:31

    под андроид стоковый браузер вылетел,а под win 8.1 c фаерфоксом не сработало

    • Vlад

      11.07.2017 at 16:14

      И кто «виноват» в последнем случае — win 8.1 или браузер фаерфокс ?
      (то бишь кто бомбу обезвреживал ?)

  6. Weavel

    10.07.2017 at 18:57

    > Не сочтут ли это превышением необходимой защиты?
    Необходимой обороны здесь нет, а значит и превышения тоже нет. Вообще, уголовный кодекс РФ (а скорее всего и стран СНГ, ибо он модельный) предусматривает только одно деяние, которое можно было бы притянуть за уши к данному случаю — создание, использование и распространение вредоносных компьютерных программ. Но, во-первых, ее как раз нужно притянуть, причем очень сильно, а во-вторых, статья сама по себе мертвая. Так что опасности с правовой точки зрения здесь нет.

  7. john_

    25.07.2017 at 17:03

    Интересная статейка. У меня как то был архив на руках, который вешал метров 25, а при распаковке было больше 2.5гб. Файлы видео. До сих пор для меня загадка — как оно так 🙈

Оставить мнение