如何保护计算机免受Zip Bombs的威胁
一旦完成,新版本的zip炸弹再次让安全研究人员提高警惕。
想象一下,一个无害的、体积只有几千字节的zip文件在你点击解压后变成了系统崩溃的拍它字节或艾字节的负载。
这就是一个zip炸弹、解压炸弹或者死亡压缩包。
什么是Zip炸弹?
这是一个具有多个嵌套层次的压缩文件或者一个单层次的压缩文件,当解压后占用的空间远远超过大多数计算机的处理能力。
zip炸弹的设计思想是通过解压缩或者扫描其内容来使CPU和杀毒软件超负荷运行,同时让malware进入系统。
然而,大多数杀毒软件可以在不解压缩的情况下查看zip文件的内容。当它们检测到多个压缩层次时,它们会将其标记为zip炸弹并停止扫描。
一个经典的例子是.42 zip文件,当压缩时只有42 kb。它有六个压缩数据层次,前五个层次每个都有16个文件,最后一个是一个4.3 GB的单一文件。
然而,当完全解压缩后,它占用的总空间是4.5 PB。
1 PB = 1,000,000 GB = 1,000 TB。
为了了解情况,我的笔记本电脑存储空间只有512 GB,或者大约0.5 TB。我拥有的最大的外部硬盘是1 TB。所以从技术上讲,当尝试递归打开.42 zip文件时,大多数个人电脑会崩溃。有趣的是,你可以轻松地从互联网上下载这个文件(自担风险)。
然而,大多数这样的炸弹本身并不能做任何事情。然而,这样的压缩包可以配合递归解包脚本使用,以解压这些死亡压缩包来实现恶意意图。
Zip炸弹的类型
和所有恶意软件一样,zip炸弹也有不同的效果和作案手法。
#1. 递归
这些炸弹将多个层次的数据打包到一个单个的zip文件中。我们刚刚讨论的42.zip就是一个递归zip炸弹。
递归zip炸弹的一个特殊子集是zip quines。它们通过每次解包操作都复制内容,使其成为一个具有无数嵌套层次的压缩文件,进一步提高了难度。理论上讲,无论资源有多么充足,你都无法完全解压缩zip quines。
然而,递归zip炸弹已经过时,现代杀毒软件已经能够识别它们的文件结构并避免处理。
#2. 非递归
编写这个非递归压缩包的程序员David Fifield将其称为“a better zip bomb”。
与其较老的兄弟不同,这个炸弹一次性解压缩所有内容,而不需要经历多轮解压缩。这是通过比zip文件通常看到的更高的压缩比实现的。
一般来说,任何zip文件能够实现的最佳压缩比是比其标准大小小1032倍。这是通过压缩算法DEFLATE实现的。然而,David Fifield发明了一种技术,使非递归zip炸弹在一次展开中爆炸超过2800万倍(1 kb➡26.7 GB)。
因此,它很难被检测到并且具有更大的危险性。
Zip炸弹是如何工作的?
正如前面所述,如果不解压缩,zip炸弹是安全的。因此,只有当你有一些程序尝试自动解压缩每个下载的zip文件时,它们才是危险的。
此外,过时的杀毒软件可能无法看到文件结构并花费时间扫描最近下载的zip炸弹。在这种情况下,主机系统可能会崩溃。
此外,递归zip炸弹可以将恶意软件隐藏在杀毒软件可能不会扫描的层次之内。
但这些只会是递归zip炸弹。
非递归的压缩炸弹将在单次提取过程中直接占用系统资源,大多数现有的防病毒软件无法检测到。
远离压缩炸弹的安全方法
保持良好的网络卫生是保持安全的最佳方法。首先,不要从不受信任的网站下载任何内容,尤其是当浏览器对即将发生的悲剧进行警告时。
垃圾邮件也是如此。如果您不确定附件的来源,请不要打开附件。如果您的邮件提供商(如Gmail)对此发出警告,请在与其交互之前尝试确认其来源。
例如,将附件文件名输入到类似谷歌的搜索引擎中,并查看响应。大多数压缩炸弹都有文档记录,并且您很可能会得到指示完全相同文件名的搜索结果。
尽管如此,以下是一份非详尽无遗的推动您向更安全的互联网方向迈进的步骤清单。
防病毒软件
在这些时代,恶意软件就藏在眼前,一个好的防病毒软件就可以做到一半的工作。有免费的产品,但免费产品通常会试图从用户身上榨取利益。
此外,您每次打开计算机时都在使用防病毒软件,即使您不知情。因此,最好花一些钱购买高级防病毒软件。这些付费产品提供先进的防火墙、系统优化工具以及一些工具(如VPN、密码管理器等),提供终极网络安全。
然而,如果出于某种原因我未能说服您,这里是一份free antivirus for your pc清单。
教育
防病毒软件可以保护您免受危险的计算机程序,但在防御压缩炸弹方面通常无能为力。
在这种情况下,受害者会被骗下载和解压缩压缩炸弹,称压缩文件不是病毒。有些人会陷入这样的陷阱,最终在系统中安装恶意软件。
随后,受害者可能面临间谍软件、ransomware、网络钓鱼等问题,网络犯罪分子试图窃取个人信息或造成财务损失。
在这里,唯一的救星就是教育。每个人都必须看到并从所有骗局中学习,并与同伴分享。
总结
压缩炸弹是可以占用您的整个硬盘甚至更多空间的文件,是系统资源的终极消耗者,可能导致系统崩溃。
由于它们不完全是恶意软件,因此无法始终识别(非递归)压缩炸弹。在那之前,唯一的保护方式是预防。
通过具备网络意识、使用高级防病毒软件并避免落入任何社会工程陷阱,可以实现这一点。
附注:我们有一个全面的Geekflare Security部分,我们定期添加一些有趣的个人和商业安全阅读材料。建议您将其加为书签,并定期阅读相关内容。