微软会偷偷扫描你加密的 zip 文件内部,是否存在恶意软件!

如果您觉得你的密码会阻止在云中被进行扫描,请三思。

图片[1]-微软会偷偷扫描你加密的 zip 文件内部,是否存在恶意软件!-零度博客

周一,几位用户在 Mastodon 上报告称,微软云服务正在通过查看用户的 zip 文件内部来扫描恶意软件,即使这些文件受到密码保护。

长期以来,将文件内容压缩到存档的 zip 文件中一直是威胁行为者用来隐藏通过电子邮件或下载传播的恶意软件的战术。最终,一些威胁参与者通过使用最终用户在将文件转换回其原始形式时必须输入的密码来保护他们的恶意 zip 文件。微软通过尝试绕过 zip 文件中的密码保护来加强这一举措,并在成功时扫描它们以查找恶意代码。

虽然对 Microsoft 云环境中受密码保护的文件的分析对某些人来说是众所周知的,但它让 Andrew Brandt 感到惊讶。安全研究人员长期以来一直将恶意软件存档在受密码保护的 zip 文件中,然后通过 SharePoint 与其他研究人员交换这些文件。周一,他向 Mastodon 报告说,微软协作工具最近标记了一个 zip 文件,该文件受到密码“感染”的保护。

“虽然我完全理解为恶意软件分析师以外的任何人做这件事,但这种多管闲事、深入了解你的业务的处理方式对于像我这样需要向同事发送恶意软件样本的人来说将成为一个大问题” Brandt 写道。“执行此操作的可用空间只会不断缩小,这将影响恶意软件研究人员开展工作的能力。

研究员 Kevin Beaumont 加入了讨论,他说微软有多种方法来扫描受密码保护的 zip 文件的内容,并且不仅将它们用于存储在 SharePoint 中的文件,还用于其所有 365 云服务。一种方法是从电子邮件正文或文件本身的名称中提取任何可能的密码。另一种方法是通过测试文件来查看它是否受到列表中包含的密码之一的保护。

“如果你给自己邮寄一些东西并输入类似‘ZIP 密码是 Soph0s’之类的东西,将 EICAR 压缩并使用 Soph0s 对其进行 ZIP 密码,它会找到(该)密码,提取并找到(并提供 MS 检测),”他写道。

布兰特说,去年微软的 OneDrive 在他的端点安全工具中创建了一个例外(即允许列表)后,开始备份他存储在他的一个 Windows 文件夹中的恶意文件。他后来发现,一旦文件进入 OneDrive,它们就会从他的笔记本电脑硬盘驱动器上擦除,并在他的 OneDrive 帐户中被检测为恶意软件。

“我失去了整群人,”他说。

然后 Brandt 开始将恶意文件归档在受密码“infected”保护的 zip 文件中。他说,直到上周,SharePoint 还没有标记这些文件。现在它是。

微软代表承认收到一封电子邮件,询问有关绕过存储在其云服务中的文件的密码保护的做法。该公司没有跟进答复。

一位谷歌代表表示,该公司不会扫描受密码保护的 zip 文件,但 Gmail 会在用户收到此类文件时对其进行标记。我的由 Google Workspace 管理的工作帐户也阻止我发送受密码保护的 zip 文件。

这种做法说明了在线服务在试图保护最终用户免受常见威胁同时尊重隐私时经常走的路线。正如 Brandt 指出的那样,主动破解受密码保护的 zip 文件感觉很冒犯。同时,这种做法几乎可以肯定地防止了大量用户成为试图感染其计算机的社会工程攻击的牺牲品。

读者应该记住的另一件事:受密码保护的 zip 文件提供了最低限度的保证,即档案中的内容无法被读取。正如 Beaumont 所指出的,ZipCrypto 是 Windows 中加密 zip 文件的默认方式,很容易覆盖. 一种更可靠的方法是在创建 7z 文件时使用内置于许多存档程序中的 AES-256 加密器。

THE END
喜欢就支持一下吧
点赞6539 分享
显卡价格一夜暴降40%!泡沫终究还是来了,你准备好了吗? | 零度解说-零度博客
“人肉搜索” 是如何办到的?深度分析技术原理?避免自己被人 “开盒”!-零度博客
神奇的 Win 10/11 快捷键,知道后学习、办公会更加高效! | 零度解说-零度博客
精品软件推荐!这5款超实用,完全免费开源,切勿错过!! | 零度解说-零度博客

精品软件推荐!这5款超实用,完全免费开源,切勿错过!! | 零度解说

https://www.youtube.com/watch?v=Nl0k6M6zHEg   ====================   1.Inpaint(图片修复、放大)工具下载:https://www.freedidi.com/12226.html 2.高效的网站克隆软件:https:...
admin的头像-零度博客admin
1.3W+1527
大流量VPS推荐!性价比高,搭建 VPN 或网站相当不错 | 零度解说-零度博客
FydeOS 18 安装教程!极速、易用、软件丰富、支持安卓APP和Google Play商店-零度博客

FydeOS 18 安装教程!极速、易用、软件丰富、支持安卓APP和Google Play商店

FydeOS是由开源项目Chromium OS二次开发的操作系统,是使用Linux内核,包括浏览器平台与容器技术的操作系统。使用界面类似Chrome OS,可以兼容x86与ARM等架构硬件平台。安装有FydeOS的平台支持...
admin的头像-零度博客admin
2.8W+2178
真正永久免费的VPS! 甲骨文云放心白嫖,4H/24G 内存、200G硬盘、G口宽带,速度真的快! | 零度解说-零度博客

真正永久免费的VPS! 甲骨文云放心白嫖,4H/24G 内存、200G硬盘、G口宽带,速度真的快! | 零度解说

甲骨文云免费服务器零度已经整整运行了2年多,时间证明甲骨文是真良心云无套路,不仅免费,而且非常稳定,宽带又给很足......https://youtu.be/E3z-T7d2jEI 甲骨文云服务器免费注册链接:https...
三星、华为、小米、OPPO、VIVO等手机关闭 “允许安装未知来源的应用程序”的方法!-零度博客

三星、华为、小米、OPPO、VIVO等手机关闭 “允许安装未知来源的应用程序”的方法!

    1.三星手机关闭关闭 “允许安装未知来源的应用程序”的方法: https://youtu.be/wHzJc-Q-_mM 2.华为手机关闭 “允许安装未知来源的应用程序”的方法: 方法/步骤 点击桌面的【设...
admin的头像-零度博客admin
1.7W+2250
NDM:可以媲美IDM的超线程下载器!完全免费开源-零度博客

NDM:可以媲美IDM的超线程下载器!完全免费开源

许多人可能会认为IDM是最出色的下载器,但若要挑选一个与之匹敌的,NDM无疑也是一个极佳的选择。 NDM也支持最高32线程的下载,从而使得原本耗时1-2小时的下载任务,如今可能仅在十几分钟乃至几...
admin的头像-零度博客admin
2.4W+3255