Microsoft взламывает защищенные паролем zip-файлы пользователей

Если вы считаете, что пароль препятствует сканированию в облаке, подумайте еще раз.



Облачные сервисы Microsoft сканируют на наличие вредоносных программ, заглядывая внутрь zip-файлов пользователей, даже если они защищены паролем, сообщили несколько пользователей на Mastodon в понедельник.

Сжатие содержимого файлов в архивные zip-файлы уже давно является тактикой, которую злоумышленники используют для сокрытия вредоносных программ, распространяющихся по электронной почте или при загрузке. В конце концов, некоторые участники угроз адаптировались, защитив свои вредоносные zip-файлы паролем, который конечный пользователь должен ввести при преобразовании файла обратно в исходный вид. Корпорация Майкрософт усиливает этот шаг, пытаясь обойти защиту паролем в zip-файлах и, в случае успеха, сканируя их на наличие вредоносного кода.

Хотя некоторым людям хорошо известен анализ защищенных паролем файлов в облачных средах Microsoft, для Эндрю Брандта это стало неожиданностью. Исследователь безопасности долгое время архивировал вредоносные программы внутри защищенных паролем zip-файлов, прежде чем обмениваться ими с другими исследователями через SharePoint. В понедельник он обратился к Мастодонту, чтобы сообщить, что средство совместной работы Microsoft недавно отметило zip-файл, который был защищен паролем ”заражен".

"Хотя я полностью понимаю, что, кроме аналитика вредоносных программ, это может делать любой сервис, такой любопытный способ проникновения в суть вашего бизнеса станет большой проблемой для таких людей, как я, которым нужно отправлять своим коллегам образцы вредоносных программ”, - написал Брандт. “Доступное пространство для этого просто продолжает сокращаться, и это повлияет на способность исследователей вредоносных программ выполнять свою работу”.

Коллега-исследователь Кевин Бомонт присоединился к дискуссии, чтобы сказать, что Microsoft располагает несколькими методами сканирования содержимого защищенных паролем zip-файлов и использует их не только для файлов, хранящихся в SharePoint, но и для всех своих облачных сервисов 365. Один из способов - извлечь все возможные пароли из текста электронного письма или названия самого файла. Другой способ - протестировать файл, чтобы убедиться, защищен ли он одним из паролей, содержащихся в списке.

“Если вы отправите себе что-то по почте и введете что-то вроде ”Почтовый пароль - Soph0s", заархивируйте EICAR и зашифруйте его с помощью Soph0s, он найдет (пароль), извлечет и найдет (и передаст MS detection)", - написал он.

Брандт сказал, что в прошлом году OneDrive от Microsoft начал создавать резервные копии вредоносных файлов, которые он хранил в одной из своих папок Windows, после создания исключения (т.е. разрешенного списка) в своих инструментах безопасности конечных точек. Позже он обнаружил, что как только файлы попали в OneDrive, они были стерты с жесткого диска его ноутбука и обнаружены как вредоносное ПО в его учетной записи OneDrive.

“Я потерял всю связку”, - сказал он.

Затем Брандт начал архивировать вредоносные файлы в zip-файлах, защищенных паролем “infected”. По его словам, вплоть до прошлой недели SharePoint не помечал файлы. Теперь это так.

Представители Microsoft подтвердили получение электронного письма с вопросом о методах обхода защиты паролем файлов, хранящихся в ее облачных сервисах. Компания пока не дала ответа.

Представитель Google сказал, что компания не сканирует zip-файлы, защищенные паролем, хотя Gmail помечает их, когда пользователи получают такой файл. Рабочая учетная запись исследователя, управляемая Google Workspace, также помешала отправить защищенный паролем zip-файл.

Эта практика иллюстрирует тонкую грань, которую часто переступают онлайн-сервисы, пытаясь защитить конечных пользователей от распространенных угроз, соблюдая при этом конфиденциальность. Как отмечает Брандт, активный взлом защищенного паролем zip-файла кажется агрессивным. В то же время такая практика почти наверняка предотвратила то, что большое число пользователей стали жертвами атак социальной инженерии, пытающихся заразить их компьютеры.

Еще одна вещь, которую читатели должны помнить: защищенные паролем zip-файлы обеспечивают минимальную гарантию того, что содержимое внутри архивов не будет прочитано. Как отметил Бомонт, ZipCrypto, средство по умолчанию для шифрования zip-файлов в Windows, легко переопределить. Более надежным способом является использование шифратора AES-256, встроенного во многие архивные программы, при создании файлов 7z.

16.05.2023
https://arstechnica.com/information...-of-password-protected-zip-files-for-malware/​