¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Es una bomba

Consultas: 1373 Comentarios: 9 Ranking: 14

lunes, 12 de agosto de 2019

La edición sobre las bombas zip les interesó mucho a nuestros lectores, y por lo tanto decidimos volver a este tema.

Nos preguntaban: cuántos recursos de gastan a escanear las bombas mencionadas en aquella edición. Vamos a contestar con copias de pantalla. Aquí están los datos del procesador:

#drweb

Y aquí está la memoria (el autor usó la máquina virtual de pruebas con poco volumen de memoria):

#drweb

Como vemos en las imágenes, solo a principios de escaneo se notan pequeños cambios

Pero vamos a volver a las bombas. En realidad, son muchas y pueden ser distintas. Por ejemplo, Vd. sabe por supuesto que las imágenes pueden guardarse en los archivos perdiendo la calidad y sin perderla. Los formatos sin perder la calidad son archivos archivados. El algoritmo de compresión analiza las líneas de imágenes y, si ve un conjunto de pixeles similares, escribe en el archivo: aquí hay una cierta cantidad de píxeles de este tipo. ¿Qué puede provocar esto? Creamos una imagen de elementos similares. Pesará muy poco como archivo, pero el programa necesitará muchos recursos para visualizarla.

En un archivo archivado de 420 bytes hay un archivo PNG cuyo tamaño es de 6 132 534 bytes (5,8 MB) y una imagen de 225 000 х 225 000 píxeles (50,625 gigapíxeles). En un búfer de píxeles con tres bytes por píxel la imagen ocupará unos 141,4 GB.

La imagen casi completamente consiste en ceros, con un mensaje secreto en el centro. Para mejor compresión se usa un sitio de color de 1 bit, aunque la mayoría de los programas para rendering gráfico igual reservan tres bits por píxel y amplían una imagen de 141,4 GB.

Fuente

Vd. entra en algún sitio web, ve una vista previa de la imagen, la descarga, y...

Un investigador creo dos pequeños scripts PHP que detectan user-agents sospechosos. Así, por ejemplo, si los malintencionados intentan usar el escáner de vulnerabilidades o a través del navegador solicitan acceso a las páginas protegidas o privadas (backend, el panel de administración, las páginas que contienen los formularios de registro y de inicio de sesión), los scripts suplantan el contenido ordinario de la página por una bomba ZIP. En cuanto un cliente del atacante reciba este archivo archivado, se producirá un rechazo de servicio de emergencia para el malintencionado.

Fuente

Si le gusta arriesgar, ¡puede probarlo!

Fuente

También hay favicons (favicon) – las imágenes que se visualizan a la izquierda de la línea de dirección del navegador. Tenemos una anécdota muy popular vinculada a este tema:

Los aficionados publicaban para sus visitantes un archivo de dibujos animados de 10GB en HD como favicon.

Solo nos puede consolar que los íconos favicon de tamaño de 10Gb no es lo peor que le puede ocurrir a uno en la vida.

Fuente

¿Es difícil crear una bomba? Depende de objetivos. A veces es muy fácil:

Es fácil hacerlo en Linux a través del comando siguiente:

dd if=/dev/zero bs=1024 count=10000 | zip zipbomb.zip -

Sustituya el contador por el número de KB que desea comprimir. En el ejemplo más arriba se crea un rayo de 10 MB (no es una gran parte de la bomba, pero indica el proceso).

Vd. NO necesita espacio en el disco duro para guardar todos los datos no comprimidos.

Fuente

El comando dd crea un flujo de ceros y los envía a la entrada del archivador. El mismo los recibe al vuelo y comprime en el archivo.

Es una opción con un archivo casi infinito. También hay una opción con subcatálogos casi infinitos en el archivo:

Según Security Focus justificación del concepto (NSFW!), es un archivo ZIP con 16 carpeta, cada uno con 16 carpetas que continúa (42 – es el nombre del archivo zip):

\42\lib 0\book 0\chapter 0\doc 0\0.dll

...

\42\lib F\book F\chapter F\doc F\0.dll

Es probable que me equivoque, pero se crean 4 ^ 16 (4 299 967 296) catálogos. Como para cada catálogo se requiere un espacio para colocar N bytes, el mismo es norme. El archivo dll al final - 0 bytes.

Solo el primer catálogo descomprimido \42\lib 0\book 0\chapter 0\doc 0\0.dll conlleva 4 Gb de espacio para ubicación 4.

Fuente

¿En qué radica el peligro de subcatálogos? Tiene que ver con recursión. Al detectar un archivo, el archivador inicia un procedimiento determinado (en este caso, el de descompresión). Si durante la misma se encuentra otro archivo (en el descomprimido), la descompresión del nivel actual se suspende, se guarda el entorno y se inicia el procedimiento que ya estaba funcionando. Cuando la siguiente descompresión finalice, al volver del procedimiento, el entorno se restablece de forma automática y continuará la descompresión interrumpida. Pero si hay otro nivel más, y luego más... Siempre se guarda el entorno, y los recursos del programa para guardar el entorno, así mismo, el stack del programa son restringidos y no infinitos. Luego son posibles las siguientes opciones: el programa deja de funcionar o se produce la así llamada excepción y la descompresión finaliza de forma emergente, y no se puede encontrar el virus que está dentro. Pero esto, por supuesto, pasa en caso de programas ordinarios. El antivirus debe descomprimirlo todo hasta el final.

Si desea hacerlo todo manualmente, hay una receta:

Los pasos que he hecho hasta ahora:

  • Crear un archivo de tamaño de 1,4 GB, lleno de '0'
  • comprimirlo.
  • Cambiamos el nombre .zip por .txt, luego hacemos 16 copias.
  • Comprimimos todo en un archivo .zip,
  • Cambiamos el nombre de los archivos.txt dentro del archivo.zip, otra vez por .zip
  • Repita los pasos de 3 a 5 veces.
  • Disfrute:)

Aunque no sé cómo explicar dónde la compresión de un archivo zip con nombre cambiado lo sigue comprimiendo, pero funciona. Es probable que me falten los términos técnicos.

Fuente

Si a alguien le interesa la teoría, por ejemplo, se puede consultar esto.

El mundo de antivirus recomienda

En muchos países “la protección activa” se considera hacking y un delito penal. Por ejemplo, en Alemania.

Es como conectar un arma paralizante a la puerta de un piso o colocar una trampa para ladrones en la entrada.

Fuente

No recomendamos nunca usar bombas de ningún tipo como bromas ni como protección. Pero es importante entender que todo esto puede ser usado contra Vd.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios