最近,用户称,微软云服务通过扫描用户zip文件以期发现恶意软件,甚至这些文件在受密码保护的情况下也不例外。
将文件内容压缩为归档的 zip 文件一直以来都是威胁行动者用于隐藏恶意软件并通过邮件或下载进行传播,一直是攻击者所采用的手段。最终,某些攻击者通过终端用户在解压缩时必须输入的密码,保护恶意 zip 文件的安全。微软尝试绕过 zip 文件中的密码保护支持措施,绕过后扫描其中的恶意代码。
虽然一些人早已知晓对分析微软云环境中受密码保护的文件十分了解,但令安全研究员 Andrew Brandt 而言十分震惊。他一直以来都把恶意软件归档到受密码保护的 zip 文件中,之后通过 SharePoint 与其他研究员交流。本周一,他在 Mastodon 上称,微软协作工具最近将受密码保护的某个 zip 文件标记为“受感染”。
他指出,“虽然我完全理解这并非仅针对恶意软件分析师而是针对所有人,但对于像我一样需要给同事发送恶意软件样本的人而言,这种插手别人事情的做法将成为一个大问题。做事空间一直在缩小,它将影响恶意软件研究人员的工作能力。”
同为研究员的 Kevin Beaumont 也加入探讨,认为微软具有多种针对受密码保护的 zip 文件的扫描方法,而且这些方法不仅用于存储在 SharePoint 上的文件,也用于所有的365云服务中。一种方法是从邮件主体或文件本身的名称中提取任何可能的密码。另外一种方法是测试文件并查看密码是否包含在某个密码清单中。
Brandt 提到,“如果你给自己发送某些内容并输入 ‘ZIP 密码是 Soph0s’、ZIP up EICAR 和 ZIP password it with Soph0s,那么它就会找到密码,提取并找到(以及投给微软检测)。”
Brandt 表示,去年微软 OneDrive 开始备份自己在端点安全工具中创建异常(即允许清单)后存储在其中一份 Windows 文件夹中的恶意文件。他之后发现一旦这些文件存储到 OneDrive,就会被从笔记本硬盘中清楚并检测为 OneDrive 账户中存在恶意软件。
他指出,“我丢失了所有东西。”
随后,Brandt 开始将恶意软件归档在 zip 文件中并将密码设置为 “infected”。截止到上周前 SharePoint 也并未对这些文件进行标记,但现在却进行了标记。
微软代表人员证实称,确实收到关于绕过存储在云服务中文件密码保护措施的邮件咨询,但并未给出回复。
谷歌的一名代表人员表示,谷歌并不会扫描受密码保护的 zip 文件,不过当用户收到此类文件时,Gmail 确实会进行标记。本文作者表示,谷歌 Workspace 管理的工作账号也阻止自己发送受密码保护的 zip 文件。
这一实践说明,在线服务在尝试保护终端用户免受常见威胁同时也尊重隐私方面如履薄冰。正如 Brandt 提到的那样,主动破解受密码保护的 zip 文件让人感到冒犯。同时,几乎可以肯定这一做法阻止大量用户遭社工,从而导致自己的计算机被感染。
用户需要记住的另外一件事是,受密码保护的 zip 文件对归档文件中内容不可被读取的最低保障。正如 Beaumont 提到的那样,ZipCrypto 作为 Windows 系统对zip 文件的默认加密方法,非常容易被绕过。更可靠的方法是使用创建 7z 文件时内置到很多压缩程序中的 AES-256 加密工具。
原文链接
https://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the-inside-of-password-protected-zip-files-for-malware/
来源:代码卫士