雲端服務中對密碼保護壓縮檔的防毒掃描
由 darkranger 在 週五, 08/11/2023 - 19:57 發表
好段時間前,來自 Ars Technica 網站的一則消息:Microsoft is scanning the inside of password-protected zip files for malware,其內容描述一名安全研究員,發現他在 SharePoint 上保存的 ZIP 壓縮檔,即便有加上密碼保護,似乎仍會被雲端服務嘗試解開,並對裡頭的檔案進行防毒掃描,若是偵測到有惡意程式便會遭到封鎖。雖然微軟官方並未公開表述其解開壓縮檔密碼保護的方式,然而估計其中一種可能性,仍是透過某種經過蒐集的密碼清單來進行嘗試。
儘管 DR 並未對文中所描述的情形做實際的驗證,不過這至少表示,如今使用者心裡恐怕不能再期待,只要將檔案打包成壓縮檔,並加上密碼,就能夠確保在進行輸送或保存時,不會因為任何的安全掃描機制,而有資料破損的風險。就 DR 先前曾在某防毒軟體代理商工作的經驗來說,將待分析的惡意程式樣本,打包成密碼保護的壓縮檔,再進行傳遞或保存,確實是相當常見的作法。所以倘若未來有更多的雲端服務,對壓縮檔採取更加積極的掃描動作,那麼安全研究員能夠保存樣本的途徑及方式,就會變得更加有限。或者最至少就是不能再使用太簡單的解壓縮密碼,比方說業界常見的「infected」。
另一方面,文中也部份地提及了一些資源及重要觀念。例如 EICAR 這支無害的惡意程式測試檔,當初 DR 在為客戶做教育訓練時,都有說明可以使用這支測試檔,來驗證防毒軟體的即時防護或攔截能力是否奏效。以及 ZipCrypto 是容易被破解的加密演算法,倘若 ZIP 壓縮檔需要較高安全性的密碼保護,則應使用 AES-256 加密方法。