Zip-бомба - що це таке? Як вона працює?

What is Zip Bomb?

November 20, 2022

Zip-бомба (декомпресійна бомба, архів смерті) — це різновид шкідливого файлу, який при своїй малій вазі містить величезну кількість стисненої інформації, якої часто буває достатньо, щоб перевантажити пам’ять ПК. Екстенсивна декомпресія призводить до зависання ПК і подальшого збою системи.

Класична zip-бомба — це крихітний архів, більшість з них має розмір кілобайтів. Коли цей файл розпаковано, його вміст є значно більшим, ніж той, з яким система може впоратися. Як правило, це сотні гігабайт даних, а більш просунуті бомби можуть доставляти петабайти (мільйони ГБ) або навіть ексабайти (мільярди гігабайт) файлів. Отже, так, мова йде про втиснення ексабайтів у декілька десятків чи сотень кілобайт.

Перша згадка про zip-бомбу датована 1996 роком. Один із користувачів популярного на той час сервісу обміну повідомленнями Fidonet розмістив на дошці оголошень шкідливий архів, який відкрив нічого не підозрюючи адміністратор. Відкриття такого файлу провокує процес розпаковки, що призводить до збою програми або всієї системи, оскільки просто не вистачає місця, щоб розпакувати такий обсяг даних.

Визначення Zip-бомби: як це працює?

Принцип роботи zip-бомби полягає в створенні, наприклад, текстовий файлу — порожнього, або заповненого однаковими символами — і його архівуванні. Оскільки файл містить однакову інформацію, він без проблем архівується та матиме значно менший розмір, ніж інші. Потім створюється ще 16 таких самих архівів, але оскільки вони повністю ідентичні в хеші, вони будуть зкомпресовані як один файл і нічого не важитимуть. Потім ще 16 копій, потім ще 16 копій — і так 6 разів. Зрештою, у нас є 6 рівнів по 16 архівів, кожен з яких містить 16 однакових архівів.

Для чого використовується Zip-бомба?

Оскільки zip-бомба безпосередньо не пошкоджує систему, її часто використовують, щоб викликати збій або вимкнення програми, яка намагається отримати до неї доступ. Його також можна використовувати для вимкнення антивірусного програмного забезпечення при розгортанні бекдора або іншого типове зловмисне програмне забезпечення.

Замість того, щоб порушувати роботу програми через зміни у її налаштуваннях, zip-бомба дозволяє програмі працювати за призначенням. При цьому архів , тому його розпакування (наприклад, сканування антивірусом на наявність вірусів) займає надто багато часу, дискового простору чи пам’яті (або всього цього). У цей час зловмисник може спробувати заразити систему справжнім вірусом. Хоча іноді при спробі перевірити вкладення антивірус забирає всі ресурси ПК, тим самим навантажуючи систему настільки, що подальше використання пристрою стає неможливим.

Звідки беруться zip-бомби?

Випадково заразитися таким вірусом практично неможливо. Більшість сучасних антивірусів навчилися розпізнавати та знешкоджувати zip-бомби, і на практиці ефективність такої атаки мінімальна. Тим не менш, незахищені системи все ще можуть постраждати від такого шкідливого файлу. В наші дні, zip-бомби більше використовуються як злий жарт, ніж повноцінна кіберзагроза.