微軟掃描用戶受密碼保護的zip文件,查找惡意軟件
責編:gltian |2023-05-19 14:06:55最近,用戶稱,微軟云服務通過掃描用戶zip文件以期發現惡意軟件,甚至這些文件在受密碼保護的情況下也不例外。
將文件內容壓縮為歸檔的 zip 文件一直以來都是威脅行動者用于隱藏惡意軟件并通過郵件或下載進行傳播,一直是攻擊者所采用的手段。最終,某些攻擊者通過終端用戶在解壓縮時必須輸入的密碼,保護惡意 zip 文件的安全。微軟嘗試繞過 zip 文件中的密碼保護支持措施,繞過后掃描其中的惡意代碼。
雖然一些人早已知曉對分析微軟云環境中受密碼保護的文件十分了解,但令安全研究員 Andrew Brandt 而言十分震驚。他一直以來都把惡意軟件歸檔到受密碼保護的 zip 文件中,之后通過 SharePoint 與其他研究員交流。本周一,他在 Mastodon 上稱,微軟協作工具最近將受密碼保護的某個 zip 文件標記為“受感染”。
他指出,“雖然我完全理解這并非僅針對惡意軟件分析師而是針對所有人,但對于像我一樣需要給同事發送惡意軟件樣本的人而言,這種插手別人事情的做法將成為一個大問題。做事空間一直在縮小,它將影響惡意軟件研究人員的工作能力。”
同為研究員的 Kevin Beaumont 也加入探討,認為微軟具有多種針對受密碼保護的 zip 文件的掃描方法,而且這些方法不僅用于存儲在 SharePoint 上的文件,也用于所有的365云服務中。一種方法是從郵件主體或文件本身的名稱中提取任何可能的密碼。另外一種方法是測試文件并查看密碼是否包含在某個密碼清單中。
Brandt 提到,“如果你給自己發送某些內容并輸入 ‘ZIP 密碼是 Soph0s’、ZIP up EICAR 和 ZIP password it with Soph0s,那么它就會找到密碼,提取并找到(以及投給微軟檢測)。”
Brandt 表示,去年微軟 OneDrive 開始備份自己在端點安全工具中創建異常(即允許清單)后存儲在其中一份 Windows 文件夾中的惡意文件。他之后發現一旦這些文件存儲到 OneDrive,就會被從筆記本硬盤中清楚并檢測為 OneDrive 賬戶中存在惡意軟件。
他指出,“我丟失了所有東西。”
隨后,Brandt 開始將惡意軟件歸檔在 zip 文件中并將密碼設置為 “infected”。截止到上周前 SharePoint 也并未對這些文件進行標記,但現在卻進行了標記。
微軟代表人員證實稱,確實收到關于繞過存儲在云服務中文件密碼保護措施的郵件咨詢,但并未給出回復。
谷歌的一名代表人員表示,谷歌并不會掃描受密碼保護的 zip 文件,不過當用戶收到此類文件時,Gmail 確實會進行標記。本文作者表示,谷歌 Workspace 管理的工作賬號也阻止自己發送受密碼保護的 zip 文件。
這一實踐說明,在線服務在嘗試保護終端用戶免受常見威脅同時也尊重隱私方面如履薄冰。正如 Brandt 提到的那樣,主動破解受密碼保護的 zip 文件讓人感到冒犯。同時,幾乎可以肯定這一做法阻止大量用戶遭社工,從而導致自己的計算機被感染。
用戶需要記住的另外一件事是,受密碼保護的 zip 文件對歸檔文件中內容不可被讀取的最低保障。正如 Beaumont 提到的那樣,ZipCrypto 作為 Windows 系統對zip 文件的默認加密方法,非常容易被繞過。更可靠的方法是使用創建 7z 文件時內置到很多壓縮程序中的 AES-256 加密工具。
原文鏈接
https://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the-inside-of-password-protected-zip-files-for-malware/
來源:代碼衛士