微软会偷偷扫描你加密的 zip 文件内部,是否存在恶意软件!

如果您觉得你的密码会阻止在云中被进行扫描,请三思。

图片[1]-微软会偷偷扫描你加密的 zip 文件内部,是否存在恶意软件!-零度博客

周一,几位用户在 Mastodon 上报告称,微软云服务正在通过查看用户的 zip 文件内部来扫描恶意软件,即使这些文件受到密码保护。

长期以来,将文件内容压缩到存档的 zip 文件中一直是威胁行为者用来隐藏通过电子邮件或下载传播的恶意软件的战术。最终,一些威胁参与者通过使用最终用户在将文件转换回其原始形式时必须输入的密码来保护他们的恶意 zip 文件。微软通过尝试绕过 zip 文件中的密码保护来加强这一举措,并在成功时扫描它们以查找恶意代码。

虽然对 Microsoft 云环境中受密码保护的文件的分析对某些人来说是众所周知的,但它让 Andrew Brandt 感到惊讶。安全研究人员长期以来一直将恶意软件存档在受密码保护的 zip 文件中,然后通过 SharePoint 与其他研究人员交换这些文件。周一,他向 Mastodon 报告说,微软协作工具最近标记了一个 zip 文件,该文件受到密码“感染”的保护。

“虽然我完全理解为恶意软件分析师以外的任何人做这件事,但这种多管闲事、深入了解你的业务的处理方式对于像我这样需要向同事发送恶意软件样本的人来说将成为一个大问题” Brandt 写道。“执行此操作的可用空间只会不断缩小,这将影响恶意软件研究人员开展工作的能力。

研究员 Kevin Beaumont 加入了讨论,他说微软有多种方法来扫描受密码保护的 zip 文件的内容,并且不仅将它们用于存储在 SharePoint 中的文件,还用于其所有 365 云服务。一种方法是从电子邮件正文或文件本身的名称中提取任何可能的密码。另一种方法是通过测试文件来查看它是否受到列表中包含的密码之一的保护。

“如果你给自己邮寄一些东西并输入类似‘ZIP 密码是 Soph0s’之类的东西,将 EICAR 压缩并使用 Soph0s 对其进行 ZIP 密码,它会找到(该)密码,提取并找到(并提供 MS 检测),”他写道。

布兰特说,去年微软的 OneDrive 在他的端点安全工具中创建了一个例外(即允许列表)后,开始备份他存储在他的一个 Windows 文件夹中的恶意文件。他后来发现,一旦文件进入 OneDrive,它们就会从他的笔记本电脑硬盘驱动器上擦除,并在他的 OneDrive 帐户中被检测为恶意软件。

“我失去了整群人,”他说。

然后 Brandt 开始将恶意文件归档在受密码“infected”保护的 zip 文件中。他说,直到上周,SharePoint 还没有标记这些文件。现在它是。

微软代表承认收到一封电子邮件,询问有关绕过存储在其云服务中的文件的密码保护的做法。该公司没有跟进答复。

一位谷歌代表表示,该公司不会扫描受密码保护的 zip 文件,但 Gmail 会在用户收到此类文件时对其进行标记。我的由 Google Workspace 管理的工作帐户也阻止我发送受密码保护的 zip 文件。

这种做法说明了在线服务在试图保护最终用户免受常见威胁同时尊重隐私时经常走的路线。正如 Brandt 指出的那样,主动破解受密码保护的 zip 文件感觉很冒犯。同时,这种做法几乎可以肯定地防止了大量用户成为试图感染其计算机的社会工程攻击的牺牲品。

读者应该记住的另一件事:受密码保护的 zip 文件提供了最低限度的保证,即档案中的内容无法被读取。正如 Beaumont 所指出的,ZipCrypto 是 Windows 中加密 zip 文件的默认方式,很容易覆盖. 一种更可靠的方法是在创建 7z 文件时使用内置于许多存档程序中的 AES-256 加密器。

THE END
喜欢就支持一下吧
点赞6539 分享
Chrome、Edge 浏览器开启(VSR)视频超分辨率功能!-零度博客

Chrome、Edge 浏览器开启(VSR)视频超分辨率功能!

  1.Chrome浏览器开启VSR功能所需代码:(注意,代码前要添加一个空格,否则会报错) --enable-features=IntelVpSuperResolution 2.Edge浏览器需要安装金丝雀版:官方下载【简体中文版】【...
admin的头像-零度博客admin
1.5W+6539
在学习工作中,你特别需要的6个网站!-零度博客

在学习工作中,你特别需要的6个网站!

1.Wallheaven 高清电脑壁纸 【点击进入】 2. Aconvert 文档格式转换 【点击进入】 3.VocalreMover 背景音乐分离 【点击进入】 4.Recompressor 图片压缩 【点击进入】 5.Slant 产品、软件评分推...
admin的头像-零度博客admin
1.7W+2251
我们是否都在错误的时间使用漱口水?-零度博客

我们是否都在错误的时间使用漱口水?

许多人在刷牙后使用漱口水,但有充分的理由不应该这样做!   根据最近的一个调查显示, 100% 的受访者在刷牙后使用漱口水。 但常识可能会让很多人在错误的时间使用漱口水。而且很多人:根...
admin的头像-零度博客admin
1.5W+2251
微软官方提供的自启动程序检测工具-零度博客

微软官方提供的自启动程序检测工具

  官方下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns 发布时间:2021 年 10 月 12 日  下载 Autoruns 和 Autorunsc (3.7 MB)从Sysinternals Live 立即运...
admin的头像-零度博客admin
1.1W+652
OpenManus 本地部署! 完全免费,对接 Ollama 本地大模型,真香!-零度博客

OpenManus 本地部署! 完全免费,对接 Ollama 本地大模型,真香!

短短 3 天,39K Stars,Manus 开源版 OpenManus 彻底爆火!完全免费,无需等待,无需任何费用,无需APIKEY,直接对接我们本地的开源大模型!通过调用本地的 Ollama ,不要太香!本地部署过程:...
admin的头像-零度博客admin
4.4W+1926
WinRAR 爆远程执行漏洞!危害极大,这是最佳的解决方案!-零度博客

WinRAR 爆远程执行漏洞!危害极大,这是最佳的解决方案!

RARLAB WinRAR 爆远程代码执行漏洞 以下修复方法和自我检测电脑是否中招: 1.立即升级到最新版:【官方下载】 2.免费开源的代替方案 7-zip:【官方下载】 3.使用Windows 11 原生自带的压缩功能...
admin的头像-零度博客admin
1.7W+1682
免费使用GPT-4 的3种方法! 一分钱不花,白嫖 ChatGPT 专业版、DALL·E 3、GPT-4 Turbo等大模型 | 零度解说-零度博客

免费使用GPT-4 的3种方法! 一分钱不花,白嫖 ChatGPT 专业版、DALL·E 3、GPT-4 Turbo等大模型 | 零度解说

https://youtu.be/lJZ8vUvD6D0 ------------------------------------- 🔔 1.Coze AI 注册地址:https://www.freedidi.com/12085.html 2.Microsoft Copilot :https://www.freedidi.com/12091.h...
admin的头像-零度博客admin
1.5W+1528
Adobe 发布新模型 Firefly Image 2!新增6大功能,可免费在线使用-零度博客

Adobe 发布新模型 Firefly Image 2!新增6大功能,可免费在线使用

Firefly 新版AI 文生图功能,直接炸场 一年一度的MAX大会上! Adobe推出了3款全新的,而且是非常强大的生成式 AI 人工智能模型!分别是第二代萤火虫图像模型、萤火虫矢量模型、以及萤火虫设计模...
admin的头像-零度博客admin
1.7W+1682
Meta LlaMA 2 最强的AI大语言模型!完全免费开源了!!附最新下载方式-零度博客

Meta LlaMA 2 最强的AI大语言模型!完全免费开源了!!附最新下载方式

 1.Text generation web UI【官方下载】、或【备用下载】2.语言模型下载:【官方链接】,普通GPU建议选择Llama-2-7b-chat模型,如果你的GPU比较强,建议选择Llama-2-13b-chat 或者 Llama-2-70b...
admin的头像-零度博客admin
1.8W+1685