微软会偷偷扫描你加密的 zip 文件内部,是否存在恶意软件!

如果您觉得你的密码会阻止在云中被进行扫描,请三思。

图片[1]-微软会偷偷扫描你加密的 zip 文件内部,是否存在恶意软件!-零度博客

周一,几位用户在 Mastodon 上报告称,微软云服务正在通过查看用户的 zip 文件内部来扫描恶意软件,即使这些文件受到密码保护。

长期以来,将文件内容压缩到存档的 zip 文件中一直是威胁行为者用来隐藏通过电子邮件或下载传播的恶意软件的战术。最终,一些威胁参与者通过使用最终用户在将文件转换回其原始形式时必须输入的密码来保护他们的恶意 zip 文件。微软通过尝试绕过 zip 文件中的密码保护来加强这一举措,并在成功时扫描它们以查找恶意代码。

虽然对 Microsoft 云环境中受密码保护的文件的分析对某些人来说是众所周知的,但它让 Andrew Brandt 感到惊讶。安全研究人员长期以来一直将恶意软件存档在受密码保护的 zip 文件中,然后通过 SharePoint 与其他研究人员交换这些文件。周一,他向 Mastodon 报告说,微软协作工具最近标记了一个 zip 文件,该文件受到密码“感染”的保护。

“虽然我完全理解为恶意软件分析师以外的任何人做这件事,但这种多管闲事、深入了解你的业务的处理方式对于像我这样需要向同事发送恶意软件样本的人来说将成为一个大问题” Brandt 写道。“执行此操作的可用空间只会不断缩小,这将影响恶意软件研究人员开展工作的能力。

研究员 Kevin Beaumont 加入了讨论,他说微软有多种方法来扫描受密码保护的 zip 文件的内容,并且不仅将它们用于存储在 SharePoint 中的文件,还用于其所有 365 云服务。一种方法是从电子邮件正文或文件本身的名称中提取任何可能的密码。另一种方法是通过测试文件来查看它是否受到列表中包含的密码之一的保护。

“如果你给自己邮寄一些东西并输入类似‘ZIP 密码是 Soph0s’之类的东西,将 EICAR 压缩并使用 Soph0s 对其进行 ZIP 密码,它会找到(该)密码,提取并找到(并提供 MS 检测),”他写道。

布兰特说,去年微软的 OneDrive 在他的端点安全工具中创建了一个例外(即允许列表)后,开始备份他存储在他的一个 Windows 文件夹中的恶意文件。他后来发现,一旦文件进入 OneDrive,它们就会从他的笔记本电脑硬盘驱动器上擦除,并在他的 OneDrive 帐户中被检测为恶意软件。

“我失去了整群人,”他说。

然后 Brandt 开始将恶意文件归档在受密码“infected”保护的 zip 文件中。他说,直到上周,SharePoint 还没有标记这些文件。现在它是。

微软代表承认收到一封电子邮件,询问有关绕过存储在其云服务中的文件的密码保护的做法。该公司没有跟进答复。

一位谷歌代表表示,该公司不会扫描受密码保护的 zip 文件,但 Gmail 会在用户收到此类文件时对其进行标记。我的由 Google Workspace 管理的工作帐户也阻止我发送受密码保护的 zip 文件。

这种做法说明了在线服务在试图保护最终用户免受常见威胁同时尊重隐私时经常走的路线。正如 Brandt 指出的那样,主动破解受密码保护的 zip 文件感觉很冒犯。同时,这种做法几乎可以肯定地防止了大量用户成为试图感染其计算机的社会工程攻击的牺牲品。

读者应该记住的另一件事:受密码保护的 zip 文件提供了最低限度的保证,即档案中的内容无法被读取。正如 Beaumont 所指出的,ZipCrypto 是 Windows 中加密 zip 文件的默认方式,很容易覆盖. 一种更可靠的方法是在创建 7z 文件时使用内置于许多存档程序中的 AES-256 加密器。

THE END
喜欢就支持一下吧
点赞6539 分享
MSRT- 微软官方的 Windows 恶意软件删除工具下载-零度博客

MSRT- 微软官方的 Windows 恶意软件删除工具下载

Windows 恶意软件删除工具 (MSRT) 有助于使 Windows 计算机远离流行的恶意软件。 MSRT 发现并删除威胁并逆转这些威胁所做的更改。MSRT 通常每月发布一次,作为 Windows 更新的一部分或作为可在...
admin的头像-零度博客admin
1.6W+2251
比特币与比特币现金:有什么区别?-零度博客

比特币与比特币现金:有什么区别?

比特币现金听起来很矛盾——它与比特币有什么关系呢?   几乎每个人都听说过比特币,这是世界上第一个也是最有价值的加密货币。但您可能也听说过比特币现金,这是另一种流行且有价值的货币...
admin的头像-零度博客admin
1.5W+2251
2023年 最新免费域名注册教程!支持 .com顶级域名-零度博客

2023年 最新免费域名注册教程!支持 .com顶级域名

  1.EU.org域名,永久免费!【注册链接】 2.Onamae,顶级域名首年免费,支持com/net域名 【注册链接】 3.商用域名、提供永久免费的Whois 隐私保护! 推荐 Namesio 【优惠链接】,新用户首...
admin的头像-零度博客admin
2W+6540
谷歌 Bard 史上最大更新!正式加入“读图”功能,支持中文,非常聪明,谷歌AI人工智终于能行了!附最新使用教程 | 零度解说-零度博客
7个非常不可思议的网站,很少人知道但真的超级有趣实用!| 零度解说-零度博客
AI 定位!只需一张图片就能找到你,锁定具体位置!精确到经纬度-零度博客

AI 定位!只需一张图片就能找到你,锁定具体位置!精确到经纬度

你能猜到这张自拍的拍摄地点吗?别小瞧了AI的能力,答案可能会让你吓一跳。 这事交给现在的AI来处理,它只需要“看”一眼,就能把照片里的“底裤都给扒出来”: 美国,加利福尼亚州,旧金山机场洗...
admin的头像-零度博客admin
2.5W+2178
GitHub 今晚罕见地出现长时间中断,现已恢复运行-零度博客

GitHub 今晚罕见地出现长时间中断,现已恢复运行

微软拥有并运营的另一项热门在线服务也经历了长时间的停机。这次是 GitHub 开发人员服务和代码存储库服务,周三晚上遭遇了中断。 今天晚上美国东部时间 7 点刚过,DownDetector显示 GitHub 用户...
admin的头像-零度博客admin
2W+2176
彻底关闭 Windows 10 、Windows 11 的自动更新功能!手动 / 一键关闭教程 | 零度解说-零度博客
谷歌表示苹果“不应从 iMessage 锁定造成的欺凌中受益”-零度博客

谷歌表示苹果“不应从 iMessage 锁定造成的欺凌中受益”

Apple 的 Messages 应用程序区分 iOS 用户(蓝色)和 Android 用户(绿色)。  谷歌指责苹果从欺凌中获益,这是故意让安卓用户成为这家 iPhone 制造商 iMessage 服务的二等公民的战略的一部分...
admin的头像-零度博客admin
1.5W+2251