Cos'è#
Tecnica di offuscamento che consiste nel comprimere un file più volte usando algoritmi diversi per nasconderne il contenuto e la firma.
Come funziona#
[ PASSWORD ]
|
[ GZIP ] <--- Strato 3
|
[ BZIP2 ] <--- Strato 2
|
[ TAR ] <--- Strato 1
|
[ HEXDUMP ] <--- Rappresentazione finaleIl processo di analisi richiede di procedere dall'esterno verso l'interno, identificando ogni "scatola" prima di aprirla.
Perché è importante per Blue Team#
Molti gateway di posta o firewall hanno un limite di "profondità" (recursion limit) nell'analisi degli archivi. Gli attaccanti sfruttano questo limite creando file compressi 50 volte (Zip Bomb o offuscamento) per superare i controlli senza essere scansionati.
Scenario Reale#
Analisi di un archivio sospetto ricevuto via email che sembra vuoto o corrotto, ma che in realtà contiene un eseguibile nascosto sotto tre livelli di tar e gzip.
