728x90
반응형
Zip Bomb
: Decompression bomb로도 불리며, 압축을 풀었을 때 엄청난 리소스를 소모하게 만드는 파일을 이용한 공격
체크가 필요한 대상
- 압축을 해제하는 디바이스(모바일, PC 등)
- 서버 내 처리를 위해 Decompression 하는 경우
- PK헤더를 사용하는 포맷(e.g Office의 OXML)을 처리하는 도구들
공격기법
- Single-layered
- Zip 파일 내 단일 레이어로 구성한 Zip Bomb 공격기법으로 파일의 헤더, 내용 등을 겹쳐써서 만듦
- 예시로는 zbsm, zblg, zbxl이 있음
- https://github.com/ZerosunGitHub/zipbomb
- Multi-layered
- 여러 레이어를 포함하는 Zip Bomb 공격기법
- 예시로는 42.374 bytes의 압축파일을 풀면 4.5 pb 의 용량이 나오는 42.zip 이 있음
- 42.zip
- Self-replicating
- 자가 복제 기반의 Zip Bomb 공격기법
- Decompression시 자체적으로 복제하여 재귀 프로세스를 생성하는 Zip 형태
- 예시로는 r.zip이 있음
- research!rsc: Zip Files All The Way Down
공격 시나리오
- 컴퓨팅 자원을 대량으로 소모하여 다른 기능에 영향을 끼침
- 컴퓨팅 자원을 대량으로 소모하여 과도한 비용을 발생시킴 (Public Cloud의 경우 민감)
- 과도한 파일 사이즈로 파일 시스템의 여유 공간을 줄여 로깅 등을 방해
대응방안
- 업데이트 및 보안 패치: 시스템 및 압축 프로그램을 최신 버전으로 업데이트하고, 보안 패치를 적용함. 이를 통해 악성 코드 실행에 이용되는 압축 프로그램의 취약점을 해결할 수 있음
- 용량 제한 설정: 시스템에서 압축 파일의 용량을 제한하는 정책을 설정할 수 있음. 이를 통해 압축 파일의 크기가 너무 큰 경우 압축 해제를 거부하거나 경고를 표시할 수 있음
- 압축 해제 시간 제한: 압축 해제 작업에 대한 시간 제한을 설정하여 과도한 시간이 소요되는 압축 파일을 감지하고 처리를 중단할 수 있음
- 압축 파일 스캔: 안티바이러스 및 보안 솔루션을 사용하여 압축 파일을 스캔하는 기능을 활성화함. 악성 코드 또는 압축 해제에 문제가 있는 파일을 탐지하고 차단할 수 있음.
- 압축 파일 형식 제한: 시스템에서 지원하는 압축 파일 형식을 제한하여 압축 파일 실행에 사용되는 특정 형식을 차단할 수 있음. 예를 들어, 특정 확장자 또는 압축 프로그램에서 생성된 압축 파일을 차단할 수 있음.
- 신뢰할 수 있는 소스에서의 압축 파일만 허용: 압축 파일을 업로드 또는 다운로드할 때, 신뢰할 수 있는 소스에서만 허용하도록 정책을 설정할 수 있음. 이를 통해 알려진 악성 압축 파일의 전파를 방지할 수 있음.
- 교육 및 인식: 시스템 사용자에게 zip bomb 및 다른 보안 위협에 대한 인식을 높이고, 알려진 악성 파일을 열지 않도록 경고하는 교육과정을 제공함.
728x90
반응형