Hacker finden nicht jeden Tag einen neuen Weg, auf Ihre Server zuzugreifen. Zip-Bombing ist eine der einfachsten, aber effektivsten Methoden, dies zu tun.
Die Häufigkeit von Cyberangriffen nimmt täglich zu. Die Entwicklung von Cybersicherheitsmaßnahmen zwingt Bedrohungsakteure dazu, neue Wege zu finden. Dies ist in der heutigen Welt, in der Daten wertvoller sind als Gold, selbstverständlich, da sich alle Informationen jetzt in der virtuellen Umgebung befinden und es nichts mehr gibt Black-Hat-Hacker wird nicht reichen, um es zu bekommen.
Was ist eine Zip-Bombe?
Um Zip-Bombing zu erklären, müssen wir zunächst erklären, was eine ZIP-Datei ist. Eine ZIP-Datei ist ein Dateiarchiv, das mehrere Dateien als eine speichert. Es handelt sich um ein verlustfreies Komprimierungsformat, das heißt, die Daten werden ohne Qualitätsverlust komprimiert. ZIP-Dateien werden häufig verwendet, um die Größe von Dateien zu reduzieren und so die Speicherung oder Übertragung zu erleichtern.
Eine Zip-Bombe hingegen ist eine bösartige ZIP-Datei, die ein Computersystem mit Daten überfluten soll. Zip-Bomben werden typischerweise durch rekursives Verschachteln von ZIP-Dateien ineinander erstellt. Beim Zip-Bombing wird die Komprimierung von Zip-Dateien ausgenutzt. Zip-Dateien verwenden einen Komprimierungsalgorithmus namens Deflate, der Daten sehr effizient komprimiert. Allerdings hat Deflate auch eine Schwäche: Mit ihm lassen sich Dateien erstellen, die im dekomprimierten Zustand viel größer sind als im komprimierten Zustand.
Um eine Zip-Bombe zu erstellen, erstellt ein Angreifer eine ZIP-Datei, die eine große Anzahl identischer Dateien enthält. Diese Dateien können alles sein, beispielsweise leere Textdateien oder Bilder. Der Angreifer komprimiert die ZIP-Datei dann mehrmals und verwendet dabei jeweils eine andere Komprimierungsstufe.
Durch diesen Vorgang kann eine ZIP-Datei erstellt werden, die im komprimierten Zustand sehr klein, im dekomprimierten Zustand jedoch sehr groß ist. Beispielsweise kann eine Zip-Bomb-Datei, die nur wenige Kilobyte groß ist, beim Dekomprimieren auf Hunderte von Gigabyte oder sogar Terabyte anwachsen.
Rekursive vs. nicht rekursive Zip-Bomben
Rekursive Zip-Bomben Funktionieren Sie, indem Sie ZIP-Dateien ineinander verschachteln. Beispielsweise könnte eine rekursive Zip-Bombe eine Zip-Datei enthalten, die eine andere Zip-Datei enthält, und so weiter. Wenn das Opfer die Zip-Bombe öffnet, versucht der Computer, alle verschachtelten Zip-Dateien zu extrahieren. Dies kann schnell die Ressourcen des Computers überlasten und zum Absturz führen.
Nicht rekursive Zip-Bomben Verwenden Sie keine verschachtelten ZIP-Dateien. Stattdessen verlassen sie sich auf eine Technik namens überlappende Dateien. Überlappende Dateien sind Dateien, die dieselben Daten enthalten, sich jedoch an unterschiedlichen Stellen in der ZIP-Datei befinden. Wenn der Computer versucht, eine nicht rekursive Zip-Bombe zu extrahieren, extrahiert er dieselben Daten mehrmals. Dies kann auch die Ressourcen des Computers überlasten und zum Absturz führen.
Nicht rekursive Zip-Bombs sind effektiver, da sie viel kleiner sein können als rekursive Zip-Bombs. Beispielsweise kann eine nicht rekursive Zip-Bombe, die auf 1 TB erweitert werden kann, nur 10 MB groß sein. Dies liegt daran, dass nicht rekursive Zip-Bombs nicht mehrere Kopien derselben Daten enthalten müssen.
Wie werden Zip-Bomben bei Cyberangriffen eingesetzt?
Zip-Bomben werden häufig bei Denial-of-Service-Angriffen eingesetzt. Ein Denial-of-Service-Angriff ist eine Angriffsart, die darauf abzielt, ein Computersystem für die vorgesehenen Benutzer unzugänglich zu machen. Bei einem Denial-of-Service-Angriff überschwemmt der Angreifer das Computersystem mit Datenverkehr oder Daten, was zum Absturz oder zur Überlastung des Computersystems führt.
Zip-Bomben können auch zur Verbreitung von Schadsoftware oder zum Datendiebstahl eingesetzt werden. Beispielsweise könnte ein Angreifer eine Zip-Bombe an ein Unternehmen senden, um dessen Antivirensoftware zu deaktivieren. Sobald die Antivirensoftware deaktiviert ist, kann der Angreifer andere Malware an die Computer des Unternehmens senden.
Wenn dann nicht genügend Platz für die Datenspeicherung vorhanden ist, kommt es vor allem in einem Unternehmen vor, das keinen Platz hat Datenarchivierung, werden die Systeme zunächst instabil und langsamer und stürzen dann völlig ab. Die manuelle Behebung eines solchen Zip-Bombings kann sehr lange dauern, wenn nicht in kurzen Zeiträumen Backups erstellt werden.
Ein stabiles System ist der Traum eines Hackers und es ist viel einfacher, nach einem solchen Angriff an persönliche/Unternehmensdaten zu gelangen.
Wie schützt man sich vor Zip-Bombing?
Sie können mehrere Schritte unternehmen, um Ihren Server vor einem Zip-Bomb-Angriff zu schützen:
- Begrenzen Sie die Größe der hochgeladenen Dateien
- Überprüfen Sie die unkomprimierte Größe der hochgeladenen Dateien, bevor Sie sie extrahieren
- Extrahieren Sie ZIP-Dateien in ein temporäres Verzeichnis
- Verwenden Sie eine Web Application Firewall (WAF)
Begrenzen Sie die Größe der hochgeladenen Dateien
Die meisten Webserver verfügen über eine integrierte Begrenzung der Größe hochgeladener Dateien. Dieses Limit sollte auf einen Wert festgelegt werden, der groß genug ist, um legitime Datei-Uploads zu ermöglichen, aber klein genug, um das Hochladen von Zip-Bombs zu verhindern.
Um die Größe hochgeladener Dateien in Apache zu begrenzen, können Sie die folgende Anweisung verwenden:
LimitRequestBody 1048576
Dadurch wird die Größe der hochgeladenen Dateien auf 1 MB begrenzt. Sie können das Limit an Ihre Bedürfnisse anpassen.
Überprüfen Sie die unkomprimierte Größe der hochgeladenen Dateien, bevor Sie sie extrahieren
Eine Zip-Bombe kann auf eine sehr kleine Größe komprimiert werden, beim Herausziehen dehnt sie sich jedoch auf eine viel größere Größe aus. Sie können eine Zip-Bibliothek verwenden, um die unkomprimierte Größe einer Zip-Datei vor dem Extrahieren zu überprüfen. Wenn die unkomprimierte Größe einen bestimmten Schwellenwert überschreitet, sollte die Datei abgelehnt werden.
In Python können Sie beispielsweise den folgenden Code verwenden:
ZIP-Datei importieren
def check_uncompressed_size(zip_file):
total_size = 0
mit zipfile.ZipFile(zip_file, ‚r‘) als zip_ref:
für Informationen in zip_ref.infolist():
total_size += info.file_size
gib total_size zurückwenn check_uncompressed_size(‚my_file.zip‘) > 10000000:
# Die ZIP-Datei ist zu groß, lehnen Sie sie ab
passieren
anders:
# Die ZIP-Datei kann sicher extrahiert werden
extract_zip_file(‚my_file.zip‘)
Extrahieren Sie ZIP-Dateien in ein temporäres Verzeichnis
Dadurch wird verhindert, dass die Zip-Bombe die Festplatte Ihres Servers füllt. Sie können den folgenden Code in Python verwenden, um ein temporäres Verzeichnis zu erstellen und eine ZIP-Datei dorthin zu extrahieren:
temporäre Datei importieren
def extract_zip_file(zip_file):
temp_dir = tempfile.mkdtemp()
mit zipfile.ZipFile(zip_file, ‚r‘) als zip_ref:
zip_ref.extractall(temp_dir)# Machen Sie etwas mit den extrahierten Dateien
passieren
Verwenden Sie eine Web Application Firewall (WAF)
Eine WAF kann so konfiguriert werden, dass sie Zip-Bomb-Angriffe erkennt und blockiert. Um eine Web Application Firewall (WAF) einzurichten, müssen Sie Folgendes tun:
- Wählen Sie eine WAF-Lösung. Es stehen viele verschiedene WAF-Lösungen zur Verfügung, sowohl kommerzielle als auch Open Source. Sie sollten eine Lösung wählen, die Ihren spezifischen Anforderungen entspricht, z. B. den Arten von Angriffen, vor denen Sie sich schützen möchten, der Größe und Komplexität Ihrer Webanwendung und Ihrem Budget. Die beliebtesten WAF-Lösungen des Jahres 2023 sind:
- Stellen Sie die WAF-Lösung bereit. Sobald Sie sich für eine WAF-Lösung entschieden haben, müssen Sie diese vor Ihrer Webanwendung bereitstellen. Dies kann die Konfiguration Ihres Webservers oder Load Balancers umfassen, um den Datenverkehr über die WAF weiterzuleiten
- Konfigurieren Sie die WAF-Regeln. Die meisten WAF-Lösungen verfügen über eine Reihe vorkonfigurierter Regeln, die vor häufigen Angriffen auf Webanwendungen schützen. Sie können auch Ihre eigenen benutzerdefinierten Regeln erstellen, um sich vor bestimmten Angriffen oder Bedrohungen zu schützen
- Überwachen Sie die WAF-Protokolle. Es ist wichtig, die WAF-Protokolle zu überwachen, um alle Angriffe zu identifizieren, die blockiert oder versucht werden. Dadurch können Sie sicherstellen, dass die WAF ordnungsgemäß funktioniert, und eventuell auftretende neue Bedrohungen erkennen
Denken Sie daran, dass jeder Schritt, den Sie unternehmen, um die Cybersicherheit von Ihnen und Ihren Mitarbeitern zu gewährleisten, kein Extra ist. Daten sind Gold wert und Sie sind ein moderner Juwelier.
Hervorgehobener Bildnachweis: rawpixel.com/Freepik.
