ZIP-Bomben: erst klein, dann gemein
Stellen Sie sich vor: Eine E-Mail trifft ein, im Anhang eine harmlos wirkende ZIP-Datei, die nur wenige Kilobyte groß ist. Ihr System beginnt, die Datei zu entpacken – und stürzt ab. Was folgt, ist Systemausfall, Speicherverschwendung oder im schlimmsten Fall ein Einfallstor für weiteren Schadcode. Der Grund ist eine ZIP-Bombe, detoniert innerhalb Ihrer IT-Infrastruktur. Im Blogartikel erklären wir, was ZIP-Bomben sind, wie sie durch extreme Datenkompression Systeme überlasten und als Ablenkung für Angriffe dienen, welche Varianten existieren und wie man sich mit mehrschichtigen Sicherheitsmechanismen wie NoSpamProxy effektiv davor schützt.
Was ist eine ZIP-Bombe (Archivbombe)?
Eine ZIP-Bombe – auch Archivbombe, Dekompressionsbombe oder „Zip of Death“ genannt – ist ein manipuliertes Archiv, das beim Entpacken ein unverhältnismäßiges Datenvolumen erzeugt. Die Datei selbst ist klein und unscheinbar. Der Inhalt jedoch ist darauf ausgelegt, Speicher, CPU und Festplatte des verarbeitenden Systems bis zur Erschöpfung zu belasten.
Das Grundprinzip nutzt eine legitime Eigenschaft des ZIP-Formats: Daten mit hoher Redundanz – wie Dateien, die ausschließlich aus identischen Zeichen bestehen – lassen sich stark komprimieren. Was sich als 42 Kilobyte tarnt, kann nach dem Entpacken 4,5 Petabyte Daten freisetzen.
Warum sind ZIP-Bomben gefährlich?
Die eigentliche Gefahr liegt nicht allein in der Ressourcenerschöpfung, sondern in dem, was danach passiert. Archivbomben werden häufig als Ablenkungsmanöver eingesetzt: Während das Sicherheitssystem mit dem Entpacken beschäftigt ist, schleust sich anderer Schadcode unbemerkt ins Netzwerk.
Mögliche Folgen eines Angriffs sind Speicher- und CPU-Erschöpfung bis hin zum vollständigen Systemabsturz oder -stillstand, die Aushebelung von Virenscannern durch Absturz oder Hängenbleiben, gezielte Denial-of-Service-Angriffe auf Mail-Server und Gateways sowie Datenverlust und Betriebsunterbrechungen, wenn Systeme abstürzen und laufende Prozesse plötzlich stoppen.
Welche Arten von ZIP-Bomben gibt es?
ZIP-Bomben sind nicht alle gleich. Es gibt drei unterschiedliche Varianten, die jeweils unterschiedlich aufgebaut sind und unterschiedliche Schutzmechanismen erfordern.
Besonders heimtückisch: Viele Archivbomben verwenden einen einzigen komprimierten Datenkern (Kernel), der vielfach referenziert wird. Dieser Kernel (ein einziger, komprimierter Datenblock, z. B. Gigabytes an Nullbytes) wird nur einmal im Archiv gespeichert, aber im Inhaltsverzeichnis des Archivs hundert- oder tausendfach als separate „Datei“ aufgeführt.
Das Archiv ist dann winzig, denn der Kernel existiert ja nur einmal. Beim Entpacken wird jede dieser referenzierten „Dateien“ einzeln entpackt und auf das Speichermedium geschrieben – hundertfach oder tausendfach als vollständige Datei. Da der Inhalt identisch ist, belegt er im Archiv kaum Platz – beim Entpacken aber vervielfältigt er sich explosionsartig.
Woran erkenne ich ZIP-Bomben?
Eine ZIP-Bombe lässt sich von außen kaum sicher erkennen – aber es gibt Warnsignale, die sowohl Sicherheitslösungen als auch erfahrene Administratoren erkennen können.
Kann NoSpamProxy vor ZIP-Bomben schützen?
NoSpamProxy setzt auf mehrere, ineinandergreifende Mechanismen, die ZIP-Bomben auf verschiedenen Ebenen abwehren.
Der Inhaltsfilter prüft E-Mail-Anhänge auf Dateityp, Dateinamen und Archivinhalt – auch innerhalb von ZIP-Archiven. Schädliche oder verbotene Inhalte werden erkannt und die E-Mail abgewiesen, bevor der Anhang zugestellt wird.
Tief verschachtelte ZIP-Archive und passwortgeschützte Dateien können vollständig entfernt oder die gesamte E-Mail abgewiesen werden. Zudem steht der Dateityp „Verschlüsselte ZIP-Datei“ im Inhaltsfilter zur Verfügung, so dass dieser Dateityp in Anhängen erkannt wird und diese E-Mails abgelehnt werden können.
Der cloudbasierte 32Guards-Dienst ergänzt den Inhaltsfilter um eine verhaltensbasierte Analyse: Unbekannte oder verdächtige Anhänge werden in der 32Guards Sandbox in einer isolierten Umgebung geöffnet und beobachtet. Verhält sich eine Datei beim Entpacken auffällig – etwa, weil sie unverhältnismäßig viel Speicher beansprucht – wird sie als verdächtig eingestuft und blockiert. Das ist besonders relevant für neue Varianten von Archivbomben, die noch keine bekannte Signatur haben.
Auf einer vorgelagerten Ebene wirken die Methoden zur E-Mail-Authentifizierung SPF, DKIM und DMARC. Sie stellen unter anderem sicher, dass eine E-Mail tatsächlich vom angegebenen Absender stammt. Gefälschte Absenderadressen werden so bereits erkannt, bevor der Anhang überhaupt geprüft wird.
Der DMARC Report Analyzer 25Reports unterstützt Administratoren dabei, die DMARC-Reports korrekt auszuwerten, grafisch aufbereitet darzustellen und die eigene DMARC-Konfiguration zu optimieren. So können Administratoren sicherstellen, dass die eigene Unternehmensidentität nicht für den Versand von ZIP-Bomben missbraucht wird.
Fazit
ZIP-Bomben sind keine neue Bedrohung – aber sie bleiben relevant, weil neue Varianten bestehende Schutzmechanismen gezielt umgehen. Besonders gefährlich ist ihr Einsatz als Ablenkungsmanöver: Während Sicherheitssysteme mit dem Entpacken beschäftigt sind, öffnen sich Türen für weiteren Schadcode. Wirksamer Schutz erfordert mehrere Ebenen – mit NoSpamProxy sind Sie sicher geschützt.
Optimaler Schutz mit E-Mail-Firewall sowie DMARC Monitoring & Alerting – Jetzt kostenfrei testen
Schützen Sie Ihre E-Mail-Infrastruktur zuverlässig vor Bedrohungen wie ZIP-Bomben und anderen raffinierten Angriffen. Mit NoSpamProxy setzen Sie auf eine leistungsstarke, mehrschichtige Sicherheitslösung „made in Germany“, die Ihre Systeme effektiv entlastet und Angriffe frühzeitig stoppt. Testen Sie NoSpamProxy jetzt kostenfrei und überzeugen Sie sich selbst von maximaler E-Mail-Sicherheit. Ergänzend dazu hilft Ihnen der DMARC Report Analyzer NoSpamProxy 25Reports, Ihr DMARC-Setup transparent zu analysieren und Ihre Domain optimal vor Missbrauch zu schützen.
