微軟掃描用戶受密碼保護(hù)的zip文件,查找惡意軟件
責(zé)編:gltian |2023-05-19 14:06:55最近,用戶稱,微軟云服務(wù)通過(guò)掃描用戶zip文件以期發(fā)現(xiàn)惡意軟件,甚至這些文件在受密碼保護(hù)的情況下也不例外。
將文件內(nèi)容壓縮為歸檔的 zip 文件一直以來(lái)都是威脅行動(dòng)者用于隱藏惡意軟件并通過(guò)郵件或下載進(jìn)行傳播,一直是攻擊者所采用的手段。最終,某些攻擊者通過(guò)終端用戶在解壓縮時(shí)必須輸入的密碼,保護(hù)惡意 zip 文件的安全。微軟嘗試?yán)@過(guò) zip 文件中的密碼保護(hù)支持措施,繞過(guò)后掃描其中的惡意代碼。
雖然一些人早已知曉對(duì)分析微軟云環(huán)境中受密碼保護(hù)的文件十分了解,但令安全研究員 Andrew Brandt 而言十分震驚。他一直以來(lái)都把惡意軟件歸檔到受密碼保護(hù)的 zip 文件中,之后通過(guò) SharePoint 與其他研究員交流。本周一,他在 Mastodon 上稱,微軟協(xié)作工具最近將受密碼保護(hù)的某個(gè) zip 文件標(biāo)記為“受感染”。
他指出,“雖然我完全理解這并非僅針對(duì)惡意軟件分析師而是針對(duì)所有人,但對(duì)于像我一樣需要給同事發(fā)送惡意軟件樣本的人而言,這種插手別人事情的做法將成為一個(gè)大問(wèn)題。做事空間一直在縮小,它將影響惡意軟件研究人員的工作能力。”
同為研究員的 Kevin Beaumont 也加入探討,認(rèn)為微軟具有多種針對(duì)受密碼保護(hù)的 zip 文件的掃描方法,而且這些方法不僅用于存儲(chǔ)在 SharePoint 上的文件,也用于所有的365云服務(wù)中。一種方法是從郵件主體或文件本身的名稱中提取任何可能的密碼。另外一種方法是測(cè)試文件并查看密碼是否包含在某個(gè)密碼清單中。
Brandt 提到,“如果你給自己發(fā)送某些內(nèi)容并輸入 ‘ZIP 密碼是 Soph0s’、ZIP up EICAR 和 ZIP password it with Soph0s,那么它就會(huì)找到密碼,提取并找到(以及投給微軟檢測(cè))。”
Brandt 表示,去年微軟 OneDrive 開(kāi)始備份自己在端點(diǎn)安全工具中創(chuàng)建異常(即允許清單)后存儲(chǔ)在其中一份 Windows 文件夾中的惡意文件。他之后發(fā)現(xiàn)一旦這些文件存儲(chǔ)到 OneDrive,就會(huì)被從筆記本硬盤(pán)中清楚并檢測(cè)為 OneDrive 賬戶中存在惡意軟件。
他指出,“我丟失了所有東西。”
隨后,Brandt 開(kāi)始將惡意軟件歸檔在 zip 文件中并將密碼設(shè)置為 “infected”。截止到上周前 SharePoint 也并未對(duì)這些文件進(jìn)行標(biāo)記,但現(xiàn)在卻進(jìn)行了標(biāo)記。
微軟代表人員證實(shí)稱,確實(shí)收到關(guān)于繞過(guò)存儲(chǔ)在云服務(wù)中文件密碼保護(hù)措施的郵件咨詢,但并未給出回復(fù)。
谷歌的一名代表人員表示,谷歌并不會(huì)掃描受密碼保護(hù)的 zip 文件,不過(guò)當(dāng)用戶收到此類文件時(shí),Gmail 確實(shí)會(huì)進(jìn)行標(biāo)記。本文作者表示,谷歌 Workspace 管理的工作賬號(hào)也阻止自己發(fā)送受密碼保護(hù)的 zip 文件。
這一實(shí)踐說(shuō)明,在線服務(wù)在嘗試保護(hù)終端用戶免受常見(jiàn)威脅同時(shí)也尊重隱私方面如履薄冰。正如 Brandt 提到的那樣,主動(dòng)破解受密碼保護(hù)的 zip 文件讓人感到冒犯。同時(shí),幾乎可以肯定這一做法阻止大量用戶遭社工,從而導(dǎo)致自己的計(jì)算機(jī)被感染。
用戶需要記住的另外一件事是,受密碼保護(hù)的 zip 文件對(duì)歸檔文件中內(nèi)容不可被讀取的最低保障。正如 Beaumont 提到的那樣,ZipCrypto 作為 Windows 系統(tǒng)對(duì)zip 文件的默認(rèn)加密方法,非常容易被繞過(guò)。更可靠的方法是使用創(chuàng)建 7z 文件時(shí)內(nèi)置到很多壓縮程序中的 AES-256 加密工具。
原文鏈接
https://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the-inside-of-password-protected-zip-files-for-malware/
來(lái)源:代碼衛(wèi)士
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧