Home
dump -0f - /dev/mind
Баечки о мобильной связи (GSM, CDMA) и IT индустрии
Zip-бомбы для антивирусов? 
11th-Apr-2007 01:52 am
Помнится, в стародавние времена, когда модемы были большие, а скорости - маленькие, жил-был на свете FIDOnet. Если кто не застал или не в курсе - это такое почти-uucp, придуманное гомосексуалистами для обмена сообщениями личного свойства по коммутируемым линиям. Впрочем, как и многие вещи, придуманные гомосексуалистами для гомосексуалистов (примеры: sendmail, мужские джинсы с низкой талией и reference-архитектура сетей EV-DO rev.0), FIDOnet очень скоро стал использоваться всеми подряд.

Посылаемые друг другу сообщения передавались между узлами в виде "пакетов", упакованных каким-то распространенным архиватором - как правило, использовался ZIP, реже - RAR. Именно на этой технической особенности и базировалась милая дружеская шутка, называемая "мейл-бомба". Брался громаааааадный файл (мегабайт на 80), состоящий из одних нулей (вариант - множество файлов нулевой длины), и упаковывался. Получался архив килобайт на 400-500. Этим архивом заменялся один из исходящих пакетов с почтой.

Узел-получатель, пытаясь распаковать такой архив, с большой вероятностью либо исчерпывал лимит файловой системы (FAT-16) на кол-во имен файлов на одном разделе. либо занимал все свободное место в процессе распаковки. А, кажется, еще были мейл-бомбы в виде zip-архива с творчески подправленным заголовком и телом, которые приводили к тому, что архиватор (pkunzip.exe) либо вешал компьютер, либо "падал". Поскольку многие узлы работали по ночам в "автопилоте", получение мейл-бомбы приводило к "отказу в обслуживании" и оставляло владельца узла без свежей порции почты на следующий день. И вызывало какие-то ответные действия - crash-poll, задалбывание соседского areafix-а, подписывание шутника на ru.sex, достопамятный TBH или вообще все конференции без разбору и т.п.

Впрочем, достаточно ностальгии. Вот какой у меня возник вопрос - сейчас по сети ходит немерянное кол-во вирусов, рассылающих себя по почте в виде зараженных exe-шников, зачастую - в архиве. Соответственно, все распространенные сканеры умеют в архивы заглядывать. Интересно, возможно ли создать и подсунуть сканеру аналог фидошной "мейл-бомбы", которая приведет к каким-то нежелательным последствиям для сканера (в идеале - отказ в обслуживании)? Были ли подобные прецеденты?
Comments 
10th-Apr-2007 10:57 pm (UTC)
[info]nepilsonis
У всех известных мне антивирусов есть лимиты на эти штуки. Известны так же и соответствующие баги в распаковщиках, которые патчились.
10th-Apr-2007 11:24 pm (UTC)
[info]neograff
нет.
10th-Apr-2007 11:25 pm (UTC)
[info]aaz_2
Спрячь!
Спрячь немедля файл-бомбы в 10 гиг в 100кб!

БТВ, тоссеры (даже фаста), при рейтинге сжатия 4:1 пакеты браковала.
Правда, это надо было тюнить, да ;)
10th-Apr-2007 11:28 pm (UTC)
[info]neograff
ладно, надо, наверное, развить мысль.

дело в том, что любой архив, проверяемый сканером, распаковывается в pagefile, а его объём, как водится, имеет верхний лимит if архив в распакованном виде больше объёма пэйджа else архив проверяется частями. сканер же повесить и вовсе нереально — он проверяет код только по нескольким признакам. будь он хоть террабайтным.
10th-Apr-2007 11:59 pm (UTC)
[info]greg_shutdown
Вообще нет. Только если не сделать какой-то полуживой заголовок и найти где-то Buffer Overflow. Что совсем уж маловероятно..
Хотя если пакануть паругигабайтный файл с "нулями" в пару сотен кб (вполне реально, если кто-то сомневается т.к. сам видел в инете) и назвать файл xxx.jpg то юзверю может долго распаковывать ничто.. если не забьет себе винт, что в наши дни о 700 гиговых винтах так-же маловероятно..
Эх.. )
11th-Apr-2007 01:06 am (UTC)
[info]hadazhka
Ничто не ново под луной: http://www.securitylab.ru/vulnerability/271803.php
А ClamAV очень популярен именно в связке с почтовыми программами. И таких уязвимостей у него достаточно. Пол интернета этим конечно не положишь, но конкретному почтовику который обслуживает не пойми кто, вполне можно нагадить при желании.
11th-Apr-2007 02:16 am (UTC)
Anonymous
Вообще то все давно починили
# Files in archives larger than this limit won't be scanned.
# Value of 0 disables the limit.
# Default: 10M
# Nested archives are scanned recursively, e.g. if a Zip archive contains a RAR
# file, all files within it will also be scanned. This options specifies how
# deep the process should be continued.
# Value of 0 disables the limit.
# Default: 8
#ArchiveMaxRecursion 9

# Number of files to be scanned within an archive.
# Value of 0 disables the limit.
# Default: 1000
#ArchiveMaxFiles 1500

# If a file in an archive is compressed more than ArchiveMaxCompressionRatio
# times it will be marked as a virus (Oversized.ArchiveType, e.g. Oversized.Zip)
# Value of 0 disables the limit.
# Default: 250
11th-Apr-2007 02:49 am (UTC)
[info]hadazhka
Да речь не про данную конкретную уязвимость, а то, что проблем сделать сейчас мейл-бомбу нет никаких. Но массовости достигнуть не удастся из-за большой диверсификации почтовых серверов.
11th-Apr-2007 02:11 am (UTC)
[info]flamy
Вот это действительно весело, можно например отослать файл размером с терабайт, наверное получится неплохой denial of service, так как сканер будет его долго сканировать, или у его закончиться память.

Я не удержался и написал такую бомбочку:
dd if=/dev/zero bs=1G count=2 | zip -9 test.zip -
Правда файл почему-то получается 2Mb, может быть его еще раз зазиповать?
11th-Apr-2007 02:26 am (UTC)
Anonymous
в продолжении - сделал dd if=/dev/zero bs=1G count=2 | zip -9 test.zip -
послал:

Apr 11 09:17:33 mail amavis[16299]: (16299-05) Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) NOTICE: Virus scanning skipped: Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) spam_scan: not wasting time on SA, message longer than 204800 bytes: 535+2818528
Apr 11 09:17:33 mail amavis[16299]: (16299-05) NOTICE: HOLD reason: Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) DEFANGING MAIL: WARNING: possible mail bomb, NOT CHECKED FOR VIRUSES:\n Exceeded storage quota 314572800 bytes by...
Apr 11 09:17:33 mail amavis[16299]: (16299-05) Inserting header field: X-Amavis-Hold: Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes
Apr 11 09:17:33 mail amavis[16299]: (16299-05) Inserting header field: X-Amavis-Modified: Original mail wrapped as attachment (defanged) by mail

пришло письмо с добавленным сообщением о том что :
WARNING: possible mail bomb, NOT CHECKED FOR VIRUSES:
Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes



Так что, все отлично
11th-Apr-2007 04:34 am (UTC)
[info]flamy
да я бы не сказал.

Exceeded storage quota 314572800 bytes by do_unzip; last chunk 33764976 bytes

Значит максимум памяти выдающееся на обработку письма - 300Мб. Что если сообщение меньше 300Мб, это конечно не так болезненно, но все же должно быть неприятно для адресата. Между прочим если антивирус тратит такое огромное количество памяти на обработку каждого письма, что если забросать его десятком-другим писем, пускай они стоят в очереди, и он их обрабатывает, неплохая DoS атака может получится. А если этот антивирус работает в multithreaded режиме, так он тогда должен до полного ухода в свап.
11th-Apr-2007 07:35 am (UTC)
Anonymous
ну насколько я понимаю этот размер тоже регулируется.
11th-Apr-2007 02:25 am (UTC)
[info]apazhe.net
Вообще, правильная мейл-бомба делалась чуть веселее - это несколько [десятков] тысяч пустых нетмейлов минимальной длины (каждый буквально несколько байт) в одном пакете. Генерилось это счастье специальной софтиной.

Распаковка и обработка (а нетмейлы, если помнишь, хранились каждый отдельным файлом) вызывало очень быстрое заполнение диска, ибо каждый файл, будь он даже в один байт, хранился в одном кластере.
11th-Apr-2007 02:28 am (UTC)
Anonymous
Сейчас в связке amavisd+clam есть ограничение на количество файлов в архиве :)
11th-Apr-2007 02:30 am (UTC)
[info]selfmade
Уже не помню какая но была, была защита против mail bomb. Это я тебе как 2:5010/200 говорю.
11th-Apr-2007 12:46 pm (UTC)
[info]ru_pchel
:) Прикольно
Я 2:5010/146.22 :)
11th-Apr-2007 04:18 am (UTC)
[info]enemo
а можно так это тезисно, в двух словах, что за reference-архитектура такая гомосексуальная у EV-DO?
11th-Apr-2007 06:20 am (UTC)
[info]blacklion
+1
31st-May-2007 10:07 am (UTC)
[info]aincube
Думаю в этом словосочетании надо акцентировать внимание на "rev.0" :)
11th-Apr-2007 05:12 am (UTC)
[info]filonov
Кроме отдельных багов - не было. Ибо объем распакованного принято проверять перед проверкой.

PS: Тема гомосексуалистов, на предмете sendmail'а не раскрыта :)
11th-Apr-2007 06:20 am (UTC)
[info]blacklion
Да, кстати!
11th-Apr-2007 08:11 am (UTC)
[info]_adept_
Блин! Как я мог ТАКОЕ забыть :(

Сидел же, специально вспоминал ...
11th-Apr-2007 05:33 am (UTC)
[info]bamsic
Я знаю, что один раз повесил наш почтовый сервер в институте таким образом: послал порядка 10000 мелких писем с неправильным адресом получателя и отправителя.

Это привело к тому, что на остальную почту не осталось времени, а сервер занялся пересылкой этих писем взад-вперед. Если адресат не найден, то сервер отправителю шлет письмо с копией исходного о невозможности доставить письмо, т.к. и адрес отправителя отсутствует, то идет очередной ответ с невозможностью доставить и т.д.

Ну вообщем сервак останавливали, а очередь чистили уже вручную... :)

PS.
Если честно, это я не специально - так получилось...
11th-Apr-2007 07:34 am (UTC)
Anonymous
Такое было в qmail как то... было потрачено 60гигов :) предже чем успели понять что к чему :))))
11th-Apr-2007 06:20 am (UTC)
[info]shaman007
Раньше работало, сейчас у всех есть защита от этого.
11th-Apr-2007 06:40 am (UTC)
[info]bolk
Можно, и даже подсовывали. Но теперь антивирусы умеют это дело определять и рассказывать о таких файлах пользователю.
11th-Apr-2007 06:42 am (UTC)
[info]dil
У DrWeb'а есть ограничение на длину распаковываемого файла и максимальную степень компрессии. Если больше - он такой файл не проверяет. Видать, его создатели тоже про аркмейловые бомбы слышали :)
11th-Apr-2007 07:44 am (UTC)
[info]4vanger
там ещё много подобных шуток было - например запароленный архив под видом пакета - архиватор замирает с запросом пароля до утра.
Но все эти хаки лечились дефолтной настройкой архиваторов.
А в качестве прикола можно было под видом мейл-бандла отсылать тот самый файл на 10 метров из нулей с расширением zip. Удивлённый нод смотрел как CPS на файл доходит до 20-30 килобайт в секунду (компрессия данных модемом)
11th-Apr-2007 07:57 am (UTC)
[info]userad
На самом деле мейлбомб было очень много, некоторые правили содержимое архива чтоб 2 файла имели одинаковое имя. Но уже под конец моего участия в сети это всё было довольно хорошо защищено ... обычно под конец просто несколькими модемами людям забивали линию или на крайняк просто будили, если атаковали поинтов ... А с касперским был такой года 4 назад ... когда у него монитор умирал на определённом архиве.
11th-Apr-2007 08:47 am (UTC)
[info]crazy_daemon
В Павлограде местное отделение Укртелекома каким-то образом ухитрялись запаковывать в один ARJ-архив два файла с одинаковыми именами.
11th-Apr-2007 08:14 am (UTC)
[info]kastaneda
Всё-таки не TVN, а TBH, потому как (латиницей) сокращение от названия эхи TYT.BCE.HACPEM :)
11th-Apr-2007 08:23 am (UTC)
[info]alexott
давно уже сделана такая защита - практически у всех производителей content-filtering решений - я видел и участвовал(вую) в разработке нескольких таких систем :-)
11th-Apr-2007 09:12 am (UTC)
[info]eth0_blog
пару лет назад в bugtraq эту тему мусолили - мол большинство популярных антивирусов можно так валить. антивирусы с тех пор поумнели и на такое не ведутся.
11th-Apr-2007 03:49 pm (UTC)
[info]fonmax
Энди Элкин все в T-Mail + Fastecho дааавным давно пофиксил.

так что мегабоян, уважаемый. (:
11th-Apr-2007 06:28 pm (UTC)
[info]di_halt
Прецедент был. Где то нарывался в инете на статью способе: архив, внутри которого еще архивы, а потмо еще архивы. Короче, на такой шняге касперский не то чтоб совсем наглухо зависал. Но тупил КААААНКРЕЕЕЕТНО, фактически полностью саботировалась работа компа.

У меня, кстати, есть некий Klad.arj (внутри опять klad.arj, в нем опять klad.arj и так несколько тысяч раз)так вот там в этом архиве зарыт не то исходник виря, не то инфо вирмейкерской группы какой то. Я как то, от нефиг делать, вручную раскопал этот клад. Прикольно было :) А тогдашний доктор веб на нем хорошо повис.
20th-Apr-2007 11:07 pm (UTC)
[info]renny_
Есть такие темы, но не с размером, а с содержимым файлА. E.g. DOS-бага в каспере при перехвате им ZwOpenProcess...
21st-Apr-2007 09:30 pm (UTC)
[info]a_n_d_r_e_w_s
а EV-DO тоже придумали пид гомосексуалисты ? :)
25th-Apr-2007 07:14 pm (UTC)
[info]_adept_
нет, только reference-архитектуру :)
Leave a Comment to the Entry
Profile
User: [info]_adept_
Name: Dmitry Astapov
Читать

Все мои статьи о мобильной связи на сайте "Про GSM"

Подписаться на RSS

Все посты:
Только GSM:
Только баечки:
Я в социальных сетях
Счетчики

Рейтинг блоговLive Journal User Rating

Locations of visitors to this page

Search my journal
Хочешь такой же поиск?

Entry Tags
This page was loaded May 21st 2008, 11:58 pm GMT.