ozztech_logo_white

FortiMail Archive Bomb Saldırısı Nasıl Engellenir?

FortiMail Archive Bomb , tekrar tekrar sıkıştırılan veya açılamayan bir dosyadır. Bu arşivler, tarama işlemi sırasında yoğun kaynak tüketimi nedeniyle AV tarayıcının çökmesine veya takılmasına neden olabilir. FortiMail’in bir arşiv bombasını nasıl tanımladığını inceleyelim.

FortiMail’in ek olarak bir arşiv bombası tespit ettiği konusunda uyarı yakaladım ve uyarı detayı aşağıdaki gibiydi.

May 1 11:11:11 192.168.1.1 date=2020-05-01 time=11:11:11.620 device_id=FE800E1111000111 log_id=0100006849 type=virus subtype=infected
pri=information from="[email protected]" to="[email protected]" client_name="" client_ip="66.200.70.2"
session_id="041FLj6h006048-041OIj7j005511" msg="archive bomb detected in attachment(s)" 
00957cac6c538be83d87754573fc7e6  arsivbombasi.docx
/* md5 SUM */

Şimdi Gelelim Analiz Aşamasına. FortiMail’e erişiminiz varsa, bu dosyayı bir ek olarak mail göndermeyi deneyin. Grayware taraması etkinleştirilirse, arşiv bombası içeren bir log girişi görmeniz gerekir. Peki bu log girişinin sebebi nedir?

Öncelikle, FortiMail Archive Bomb, Grayware Taramasının bir parçasıdır. Grayware’i genel olarak devre dışı bırakabilir veya etkinleştirebilirsiniz, ancak yalnızca Arşiv Bombası algılamayı devre dışı bırakamazsınız.

Grayware nedir? Sorusunun tanımı: https://kb.fortinet.com/kb/documentLink.do?externalID=11003

Arşiv Bombasının tespitini bir imza ile yapılmadığından bir istisna ekleyemiyoruz. AV engine, sistem kaynaklarının (bellek, CPU) kullanım değerlerinin çok fazla yük bindiği durumda devreye girmektedir.

DOCX dosyaları, belgeleri sıkıştırılmış bir zip paketinde ayrı dosya ve klasörlerden oluşan bir koleksiyon olarak depolayan Açık XML biçimi kullanılarak oluşturulur.

Şimdi bu dosyayı açalım.

├── arsiv bombasi.docx
└── arsiv bombasi_unpacked
    ├── [Content_Types].xml
    ├── _rels
    ├── docProps
    │   ├── app.xml
    │   └── core.xml
    └── word
        ├── _rels
        │   └── document.xml.rels
        ├── document.xml
        ├── fontTable.xml
        ├── media
        │   └── image1.emf
        ├── settings.xml
        ├── styles.xml
        ├── theme
        │   └── theme1.xml
        └── webSettings.xml

Şimdi sıkıştırma oranını kontrol edelim:

Archive:  arsiv bombasi.docx
 Length   Method    Size  Cmpr    Date    Time   CRC-32   Name
--------  ------  ------- ---- ---------- ----- --------  ----
  1364    Defl:S      358  74% 1980-01-01 00:00 2c2fab17  [Content_Types].xml
  590     Defl:S      239  60% 1980-01-01 00:00 b71a911e  _rels/.rels
  4161    Defl:S     1216  71% 1980-01-01 00:00 d8961f31  word/document.xml
  949     Defl:S      264  72% 1980-01-01 00:00 908c3725  word/_rels/document.xml.rels
14036648  Defl:S    73459 100% 1980-01-01 00:00 2e643d23  word/media/image1.emf
  8393    Defl:S     1746  79% 1980-01-01 00:00 9867f4b6  word/theme/theme1.xml
  3093    Defl:S     1102  64% 1980-01-01 00:00 a6de204d  word/settings.xml
 29367    Defl:S     2937  90% 1980-01-01 00:00 dac93135  word/styles.xml
  803     Defl:S      313  61% 1980-01-01 00:00 f1ffc140  word/webSettings.xml
  2429    Defl:S      590  76% 1980-01-01 00:00 07e009f1  word/fontTable.xml
   743    Defl:S      368  51% 1980-01-01 00:00 dab7fc31  docProps/core.xml
  984     Defl:S      462  53% 1980-01-01 00:00 7779030f  docProps/app.xml
--------          -------  ---                            -------
14089524            83054  99%                            12 files

Dosyalardan biri (image1.emf) % 100’lük bir sıkıştırma oranı gösterir. Ancak, Uzunluğu Boyuta bölerseniz, sıkıştırılmış dosyanın 191 kat daha küçük olduğunu görebilirsiniz! Boyutu 13,3 MB’dir (14036648 bayt).

compression_ratio == uncompressed / compressed

Bu bilgiyle, bir arşivin bomba haline gelmesi için gereken koşulları kontrol edelim:

  1. sıkıştırma oranı> 100               AND
  2. sıkıştırılmamış dosyanın boyutu> 1M

Dosyamız her iki kriteri de karşılıyor, bu nedenle “ek içeriğinde arşiv bombası tespit edildi!” uyarısını görürüz.

Bu uyarı Content Profile düzenlenerek aşağıdaki şekilde devre dışı bırakılabilir

FortiMail Archive Bomb

Özet

FortiMail Archive Bomb Saldırısını Nasıl Engellenir? Sorusunun cevabını buraya kadar anlattık. Bir “arşiv bombası” uyarısı oluşturmak için dosyanın kendisinin kötü amaçlı olması gerekmez ve AV, dosyayı temiz olarak değerlendirebilir . Ancak, bir arşiv bombası tipik olarak arşivi açmak için spam filter ‘ın kaynaklarını aşarak AV yazılımını devre dışı bırakmak için kullanıldığından, her girişim analiz edilmeye değerdir.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »