Ölüm Fermuarının (Dekompresyon Bombası) Gerçekte Ne Olduğu

A Ölüm Fermuarı-olarak da bilinir. zip bombasi veya dekompresyon bombası-sıkıştırma formatlarının temel davranışlarından faydalanmak için hazırlanmış kötü amaçlı bir arşiv dosyasıdır. Böyle bir dosya açıldığında, muazzam bir boyuta ulaşarak sistem kaynaklarını zorlayabilir ve süreçleri, hatta tüm sunucuları durma noktasına getirebilir. Bu saldırıyı incelikli ve bugün hala geçerli kılan şey şudur meşru işlevselliği kötüye kullanır: dekompresyon. Modern sistemler sıkıştırılmış dosyaların zararsız olmasını bekler, ancak bir zip bombası paket açıldığında sessizce CPU, bellek, depolama veya I/O kapasitesini tüketir.

Kod çalıştıran veya veri çalan kötü amaçlı yazılımların aksine, bir Ölüm Fermuarı hizmet reddi silahı bir arşive gömülüdür. Amacı doğrudan hırsızlık değil kaynak tükenmesi ve hizmet kesintisigenellikle daha fazla istismar için açık kapılar yaratır veya otomatik iş akışlarını basitçe sakat bırakır.

Zip of Death Nasıl Çalışır? Teknik Mekanikler

Klasik Ölüm Fermuarı aşağıdakilerden yararlanır özyinelemeli sıkıştırma: iç içe geçmiş arşivler giderek daha büyük veri setlerini aldatıcı derecede küçük dosyalara sıkıştırır. Ünlü bir tarihsel örnek "42.zip" dosyasıdır: sıkıştırılmış boyutu yaklaşık 42 KB'tır, ancak 4,5 petabayttan fazla veriye dönüşür.

Bunun nedeni, ZIP formatının tasarımının yalnızca paket açma sırasında gerçekleşen büyük içeriğe referanslara izin vermesidir. Açma işlemi, kontrolü çağıran uygulamaya geri vermeden önce tüm veriler için bellek ve disk ayırır, bu nedenle sınırları zorlamayan sistemlerin kaynakları hızla tükenir.

Modern ortamlarda -bulut işlem hatları, mikro hizmetler, CI/CD sistemleri- bu kaynak patlaması sadece tek bir programı değil, hizmetler tekrar tekrar arızalanıp yeniden başlatıldıkça tüm kümeleri çökertebilir.

Zip veya Arşiv Kullanımını İçeren Gerçek 2025 Güvenlik Olayı

Klasik ayrıştırma bombası saldırılarının vahşi doğada izini sürmek zor olsa da (saldırganlar genellikle bunları diğer taktiklerle birleştirdiğinden), 2025 ZIP ve dekompresyon bağlamlarında çeşitli yüksek etkili güvenlik açıkları ve istismar modelleri:

CVE-2025-46730: Yüksek Düzeyde Sıkıştırılmış Verilerin Yanlış İşlenmesi

Bu güvenlik açığı MobSF (Mobil Güvenlik Çerçevesi), zip-of-death tarzı bir dosyanın sunucu disk alanını tüketmesine izin verir çünkü uygulama çıkarma işleminden önce toplam sıkıştırılmamış boyutu kontrol etmez. 12-15 MB'lık hazırlanmış bir ZIP, sıkıştırma açıldıktan sonra birkaç gigabayta genişleyebilir ve sunucunun hizmet reddine neden olabilir. Feedly

Saldırganlar, geleneksel kötü amaçlı yazılım imzalarını tetiklemeden dosya yükleme uç noktalarını hedef alabilir, sadece hizmetleri çökertmek ve mobil güvenlik testi iş akışlarını bozmak için dekompresyon kullanabilir.

7-Zip Güvenlik Açıkları Aktif Olarak Kullanılıyor (CVE-2025-11001 & CVE-2025-0411)

Zip bombaları 2025 yılında saldırganların yaygın olarak kullanılan dekompresyon araçlarındaki açıklardan yararlanmaları nedeniyle daha tehlikeli hale geldi. 7-Zip. CVE-2025-11001 ve CVE-2025-11002 olarak izlenen güvenlik açıkları, ZIP dosyalarındaki sembolik bağlantıların hatalı işlenmesini içermekte ve hazırlanmış arşivlerin amaçlanan dizinlerin dışına dosya yazmasına ve Windows sistemlerinde kod çalıştırmasına izin vermektedir. Net Güvenliğine Yardım Edin

Bununla ilgili bir başka kusur, CVE-2025-0411, iç içe geçmiş arşivlerin ayıklandığında Windows güvenlik kontrollerinden kaçmasına izin veren bir Web İşareti (MoTW) atlamasını içeriyordu. NHS İngiltere Dijital

Bunların her ikisi de gerçek bir 2025 eğilimi göstermektedir: dekompresyon suistimalini yol geçişi ve ayrıcalık yükseltme mekaniği ile birleştirmekBu da Ölüm Fermuarını geleneksel kaynak tükenmesinden daha ciddi bir tehdide dönüştürüyor.

Ölüm Fermuarı 2025'te Neden Hala Önemli?

Birçok güvenlik uygulayıcısı, zip bombalarının eski bir numara olduğunu, antivirüs araçları tarafından tespit edildiğini veya modern bulut ortamlarında ilgisiz olduğunu varsaymaktadır. Ancak son olayların da gösterdiği gibi, asıl tehlike dekompresyonun nerede ve nasıl uygulandığında yatmaktadır. Arşivleri otomatik olarak işleyen sistemler - ağ geçitleri, CI/CD çalıştırıcıları, bulut nesne işlemcileri ve bağımlılık yöneticileri - genellikle yeterli kontrollerden yoksundur. Bu durum şu sonuçlara yol açabilir:

• Hizmet Reddi CPU'lar ve bellek maksimuma ulaştıkça.
• Aşağı akış kesintileri dağıtılmış altyapı boyunca basamaklandırılması.
• Güvenlik tarama araçları başarısız oluyor kaynak yükü altında kör noktalar yaratır. Anormal Yapay Zeka
• Ayrıştırma hatalarının istismarısembolik bağlantı geçişi ve yol kötüye kullanımı dahil olmak üzere.

Bu nedenle, Ölüm Fermuarı görev açısından kritik ve otomasyon merkezli sistemlerde hala geçerli bir tehdittir.

Gösteri: Bir Ölüm Fermuarı Nasıl Görünür?

Saldırı Örneği 1: Basit Ölüm Fermuarı Oluşturma

Aşağıda, her katmanın sıkıştırma boyutunu katlanarak artırdığı iç içe arşivler oluşturan basit bir örnek yer almaktadır.

bash

`#Temel verileri oluştur dd if=/dev/zero of=payload.bin bs=1M count=100

Sıkıştırma recursivelyzip layer1.zip payload.bin

zip katman2.zip katman1.zip zip katman3.zip katman2.zip`

Bu final katman3.zip sadece birkaç kilobayt olabilir, ancak saf bir şekilde sıkıştırmayı açmak büyük disk ve bellek tüketimine neden olabilir.

Saldırı Örneği 2: Sığ Kontrolleri Atlamak için Derin Yerleştirme

Saldırganlar genellikle basit boyut kontrollerinden kaçmak için dizinlerin içine iç içe zipler yerleştirir:

bash

mkdir nestedcp layer3.zip nested/ zip final.zip nested

Bazı naif kontroller sadece final.zip sıkıştırılmış boyut, iç içe şişirme potansiyeli değil.

Saldırı Örneği 3: CI/CD Dekompresyon Bombası Tetikleyicisi

CI ortamlarında:

yaml

#Example snippet in .gitlab-ci.yml before_script:

• unzip artifact.zip -d /tmp/build`

Eğer artifact.zip bir Ölüm Fermuarı ise, derleme aracısı çökebilir veya boru hattı kaynak tükenmesi nedeniyle süresiz olarak askıda kalabilir.

Saldırı Örneği 4: E-posta Ağ Geçidi Dekompresyonunun Kötüye Kullanımı

Posta güvenlik ürünleri genellikle içerik denetimi için ekleri açar:

Metin

Ek: promo.zip (75 KB)

Sıkıştırılmış boyut çok büyükse, tarama motoru alabora olabilir ve bu da posta teslimatının gecikmesine veya engellenmesine yol açabilir.

Saldırı Örneği 5: ZIP Ayrıştırma Güvenlik Açığından Yararlanma (PickleScan Çökmesi)

2025 tarihli bir tavsiye, hatalı biçimlendirilmiş ZIP başlıklarının tarama araçlarının çökmesine nasıl neden olabileceğini ortaya koydu - kaynak tükenmesi yoluyla değil, tutarsızlıkların ayrıştırılması yoluyla (BadZipFile gibi hataları tetikleyerek). GitHub

python

with zipfile.ZipFile('malformed.zip') as z: z.open('weird_header')

Bu, kalite kontrollerini atlayabilir ve otomatik tarama sistemlerini bozabilir.

Ölüm Fermuarına Karşı Savunma Stratejileri

Zip of Death saldırılarının azaltılması şunları gerektirir çoklu örtüşen kontroller çünkü temel sorun tek bir programdaki bir hata değil, işlevsel bir sorundur (dekompresyonun kendisi).

Savunma Stratejisi 1: Dekompresyon Öncesi Boyut Tahmini

Çıkarma işleminden önce beklenen toplam sıkıştırılmamış boyutu kontrol edin.

python

import zipfile with zipfile.ZipFile("upload.zip") as z: total = sum(info.file_size for info in z.infolist())if total > 1_000_000_000: # ~1GB raise Exception("Arşiv çok büyük")

Bu, yıkıcı genleşmeyi önlemeye yardımcı olur.

Savunma Stratejisi 2: Yinelemeli Derinliği Sınırlayın

İç içe arşivlerin ne kadar derine inebileceğini izleyin ve sınırlayın.

python

def safe_extract(zf, depth=0):

derinlik > 3 ise:

raise Exception("Çok fazla iç içe arşiv")

for info in zf.infolist():

if info.filename.endswith('.zip'):

zf.open(info.dosyaadı) ile iç içe olarak:

safe_extract(zipfile.ZipFile(nested), depth+1)

Savunma Stratejisi 3: Kaynak Sandboxing

Sistem hizmetlerini etkilememek için dekompresyonu yalıtılmış çekirdeklerde veya sabit kotalı konteynerlerde çalıştırın:

bash

docker run --memory=512m --cpus=1 unzip image.zip

Arşiv kaynakları tüketmeye çalışsa bile süreç sınırlıdır.

Savunma Stratejisi 4: İptal Koşulları ile Akış Çıkarma

Tam çıkarma yerine, parçalı okumaları işleyin ve erken iptal edin:

python

if extracted_bytes > THRESHOLD: abort_extraction()

Bu, kaçak genişlemeleri erkenden durdurur.

Savunma Stratejisi 5: Savunmasız Kütüphaneleri ve Araçları Güncelleyin

Zip bombalarını traversal veya kod yürütme ile birleştiren ayrıştırma istismarlarını önlemek için 7-Zip'teki gibi bilinen dekompresyon kütüphanesi güvenlik açıklarını (örneğin, CVE-2025-11001 ve CVE-2025-0411) aktif olarak yamalayın. SecurityWeek

2025 ZIP Güvenlik Açığı Karşılaştırma Tablosu

Mevcut tehdit ortamına bir yapı kazandırmak için, 2025 yılında görülen ZIP ile ilgili risklerin anlık bir görüntüsünü burada bulabilirsiniz:

Penligent.ai: Arşiv Risklerinin Otomatik Tespiti

Zip of Death ve benzeri arşiv saldırılarını yalnızca statik tarama ile bulmak kolay değildir, çünkü protokol semantiği ve çalışma zamanı davranışısadece bilinen bayt imzaları değil. İşte bu noktada modern otomatik sızma platformları Penligent.ai Parlatıcı.

Penligent.ai test etmek için yapay zeka güdümlü akıllı bulanıklaştırma ve senaryo oluşturma kullanır:

• Farklı arşiv boyutları ve iç içe geçmiş yapılar altında uç noktaları yükleme
• Kaynak uygulaması için arka uç dekompresyon mantığı
• Sembolik bağlantılar ve özel başlıklar içeren arşiv ayrıştırma yolları
• Tehlikeli girdileri sessizce kabul edebilecek hata işleme kodu

Özyinelemeli yuvalama veya hatalı biçimlendirilmiş başlık saldırıları gibi gerçek saldırı modellerini simüle ederek, Penligent.ai mühendislerin geleneksel tarayıcıların gözden kaçırdığı riskleri tespit etmesine ve önceliklendirmesine yardımcı olur.

Dosya işlemenin birçok bağımsız bileşen tarafından yapıldığı mikro hizmet veya bulut tabanlı ortamlarda, bu tür sürekli, otomatik testler saldırganlardan önce açıkları bulmak için çok önemlidir.

2025'te Gelişmiş Zip Saldırısı Trendleri

Klasik dekompresyon bombalarının yanı sıra, 2025 daha incelikli ZIP tabanlı sömürü:

• Kullanılan ZIP ayrıştırma hataları kombi̇ne saldirilar (kaynak tükenmesi + kod yürütme)
• Güvenlik filtrelerini atlatan homoglif sahte arşiv uzantıları
• "Maksimum arşiv boyutu" kurallarından kaçınmak için iç içe arşiv kullanımı
• Dizin geçişi elde etmek için sembolik bağlantı işlemenin kötüye kullanılması

Bu modeller, zip bombalarının DOS tetikleyicileri olarak görülmesinin modasının geçtiğini göstermektedir; modern tehditler kaynak saldırıları ile mantık hataları.

Yasal ve Etik Hususlar

Zip bombalarının oluşturulması her zaman yasa dışı değildir; güvenlik araştırmacıları bunları genellikle test vakası olarak kullanır. Bununla birlikte, bunları kötü niyetle dağıtmak (kesinti veya yetkisiz erişim için) aşağıdakiler kapsamına girebilir bilgisayarın kötüye kullanımı ve DoS mevzuatıABD CFAA veya diğer yargı alanlarındaki benzer yasalar gibi. LegalClarity

Bu durum, savunma amaçlı araştırmaların sorumlu bir şekilde ele alınmasının ve kavram kanıtlarının güvenli laboratuvar ortamlarında kalmasının önemini vurgulamaktadır.

Sonuç: Ölüm Fermuarı Bir Kalıntı Değil, Kalıcı Bir Risktir

2025 yılında bile, gelişmiş kötü amaçlı yazılımlar ve yapay zeka destekli tehditlerin ortasında, Ölüm Fermuarı geçerliliğini koruyor çünkü yazılım tasarımında temel bir varsayım: dekompresyonun güvenli olduğunu.

E-posta ağ geçitlerinden bulut işlem hatlarına kadar modern otomasyon, yeterli sağlık kontrolleri olmadan sıkıştırılmış dosyalara güvenir. Bu varsayımlar başarısız olduğunda, tüm hizmetler çevrimdışı kalabilir.

Proaktif savunmaları birleştirerek, kütüphaneleri ayrıştırma güvenlik açıklarına karşı yamalı tutarak ve aşağıdaki gibi araçlardan yararlanarak Penligent.ai Sürekli simüle edilen saldırılar için güvenlik ekipleri, Zip of Death saldırılarını sistemlerini durdurmadan önce durdurabilir.