OzzTech - FortiMail Archive Bomb Saldırısı Nasıl Engellenir?

FortiMail Archive Bomb Saldırısı Nasıl Engellenir?

FortiMail Archive Bomb , tekrar tekrar sıkıştırılan veya açılamayan bir dosyadır. Bu arşivler, tarama işlemi sırasında yoğun kaynak tüketimi nedeniyle AV tarayıcının çökmesine veya takılmasına neden olabilir. FortiMail'in bir arşiv bombasını nasıl tanımladığını inceleyelim.

FortiMail'in ek olarak bir arşiv bombası tespit ettiği konusunda uyarı yakaladım ve uyarı detayı aşağıdaki gibiydi.

May 1 11:11:11 192.168.1.1 date=2020-05-01 time=11:11:11.620 device_id=FE800E1111000111 log_id=0100006849 type=virus subtype=infected
pri=information from="[email protected]" to="[email protected]" client_name="" client_ip="66.200.70.2"
session_id="041FLj6h006048-041OIj7j005511" msg="archive bomb detected in attachment(s)" 
00957cac6c538be83d87754573fc7e6  arsivbombasi.docx
/* md5 SUM */

Şimdi Gelelim Analiz Aşamasına. FortiMail'e erişiminiz varsa, bu dosyayı bir ek olarak mail göndermeyi deneyin. Grayware taraması etkinleştirilirse, arşiv bombası içeren bir log girişi görmeniz gerekir. Peki bu log girişinin sebebi nedir?

Öncelikle, FortiMail Archive Bomb, Grayware Taramasının bir parçasıdır. Grayware'i genel olarak devre dışı bırakabilir veya etkinleştirebilirsiniz, ancak yalnızca Arşiv Bombası algılamayı devre dışı bırakamazsınız.

Grayware nedir? Sorusunun tanımı: https://kb.fortinet.com/kb/documentLink.do?externalID=11003

Arşiv Bombasının tespitini bir imza ile yapılmadığından bir istisna ekleyemiyoruz. AV engine, sistem kaynaklarının (bellek, CPU) kullanım değerlerinin çok fazla yük bindiği durumda devreye girmektedir.

DOCX dosyaları, belgeleri sıkıştırılmış bir zip paketinde ayrı dosya ve klasörlerden oluşan bir koleksiyon olarak depolayan Açık XML biçimi kullanılarak oluşturulur.

Şimdi bu dosyayı açalım.

├── arsiv bombasi.docx
└── arsiv bombasi_unpacked
    ├── [Content_Types].xml
    ├── _rels
    ├── docProps
    │   ├── app.xml
    │   └── core.xml
    └── word
        ├── _rels
        │   └── document.xml.rels
        ├── document.xml
        ├── fontTable.xml
        ├── media
        │   └── image1.emf
        ├── settings.xml
        ├── styles.xml
        ├── theme
        │   └── theme1.xml
        └── webSettings.xml

Şimdi sıkıştırma oranını kontrol edelim:

Archive:  arsiv bombasi.docx
 Length   Method    Size  Cmpr    Date    Time   CRC-32   Name
--------  ------  ------- ---- ---------- ----- --------  ----
  1364    Defl:S      358  74% 1980-01-01 00:00 2c2fab17  [Content_Types].xml
  590     Defl:S      239  60% 1980-01-01 00:00 b71a911e  _rels/.rels
  4161    Defl:S     1216  71% 1980-01-01 00:00 d8961f31  word/document.xml
  949     Defl:S      264  72% 1980-01-01 00:00 908c3725  word/_rels/document.xml.rels
14036648  Defl:S    73459 100% 1980-01-01 00:00 2e643d23  word/media/image1.emf
  8393    Defl:S     1746  79% 1980-01-01 00:00 9867f4b6  word/theme/theme1.xml
  3093    Defl:S     1102  64% 1980-01-01 00:00 a6de204d  word/settings.xml
 29367    Defl:S     2937  90% 1980-01-01 00:00 dac93135  word/styles.xml
  803     Defl:S      313  61% 1980-01-01 00:00 f1ffc140  word/webSettings.xml
  2429    Defl:S      590  76% 1980-01-01 00:00 07e009f1  word/fontTable.xml
   743    Defl:S      368  51% 1980-01-01 00:00 dab7fc31  docProps/core.xml
  984     Defl:S      462  53% 1980-01-01 00:00 7779030f  docProps/app.xml
--------          -------  ---                            -------
14089524            83054  99%                            12 files

Dosyalardan biri (image1.emf) % 100'lük bir sıkıştırma oranı gösterir. Ancak, Uzunluğu Boyuta bölerseniz, sıkıştırılmış dosyanın 191 kat daha küçük olduğunu görebilirsiniz! Boyutu 13,3 MB'dir (14036648 bayt).

compression_ratio == uncompressed / compressed

Bu bilgiyle, bir arşivin bomba haline gelmesi için gereken koşulları kontrol edelim:

  1. sıkıştırma oranı> 100               AND
  2. sıkıştırılmamış dosyanın boyutu> 1M

Dosyamız her iki kriteri de karşılıyor, bu nedenle "ek içeriğinde arşiv bombası tespit edildi!” uyarısını görürüz.

Bu uyarı Content Profile düzenlenerek aşağıdaki şekilde devre dışı bırakılabilir

FortiMail Archive Bomb

Özet

FortiMail Archive Bomb Saldırısını Nasıl Engellenir? Sorusunun cevabını buraya kadar anlattık. Bir "arşiv bombası" uyarısı oluşturmak için dosyanın kendisinin kötü amaçlı olması gerekmez ve AV, dosyayı temiz olarak değerlendirebilir . Ancak, bir arşiv bombası tipik olarak arşivi açmak için spam filter ‘ın kaynaklarını aşarak AV yazılımını devre dışı bırakmak için kullanıldığından, her girişim analiz edilmeye değerdir.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.