17/05/23
Несколько специалистов в сфере кибербезопасности совершенно случайно обнаружили, что облачные сервисы Microsoft каким-то образом просматривают содержимое пользовательских ZIP-архивов в поисках вредоносного кода, даже если они защищены паролем.
Архивация вредоносных программ в простой ZIP-архив — давний приём злоумышленников, которые скрывают таким образом вирусы для дальнейшего распространения в фишинговых атаках, согласно Securitylab. Некоторые злоумышленники со временем стали использовать парольную защиту для своих архивов, чтобы усложнить их распаковку и анализ. Microsoft же, судя по последней информации, пытается обойти эту защиту и просканировать даже запароленные архивы на предмет наличия вредоносного кода.
Для некоторых людей такой анализ архивов в облачных средах не является новостью, но для исследователя в сфере кибербезопасности Андрея Брандта это стало неожиданностью. Специалист давно хранил образцы вирусов в ZIP-архивах с паролем «infected» и обменивался ими с коллегами через SharePoint. Вчера исследователь написал в Mastodon, что инструмент анализа в облачной среде Microsoft недавно пометил один из его архивов как опасный.
«Хотя я полностью понимаю такой подход, всё же это навязчивое и вторгающееся в твои дела поведение станет большой проблемой для людей, которые ежедневно отправляют своим коллегам образцы вирусов», — написал Брандт. По словам специалиста, подобное вмешательство может существенно повлиять на возможность исследователей вредоносных программ выполнять свою работу.
Другой исследователь безопасности, Кевин Бомонт, присоединился к обсуждению и сообщил, что Microsoft имеет несколько способов сканирования содержимого ZIP-архивов с паролем и использует их не только для файлов, хранящихся в SharePoint, но и для всех своих облачных сервисов Microsoft 365. Один из способов — извлечение возможных паролей из текста электронного письма или имени файла. Другой — банальный грубый перебор или «брутфорс».
«Если вы отправите архив по электронной почте и напишете в тексте письма, например "Пароль от ZIP — Soph0s", запакуете туда EICAR-Test-File и защитите его паролем "Soph0s", то Microsoft найдёт пароль в тексте письма, извлечёт файл и обнаружит там вредоносный код», — написал Бомонт.
Подобная практика иллюстрирует тонкую грань, по которой часто ходят онлайн-сервисы, пытаясь защитить конечных пользователей от распространённых угроз. Как отмечает Брандт, активное взламывание запароленных ZIP-архивов кажется своеобразным вторжением в частную жизнь простых пользователей. В то же время эта практика почти наверняка предотвратила огромное число случаев заражения компьютеров пользователей в атаках социальной инженерии.
Из этой истории, помимо неоднозначных методов Microsoft, можно сделать и другой вывод: ZIP-архивы с паролем дают минимальную гарантию того, что содержимое внутри не сможет быть прочитано. Как отметил Бомонт, ZipCrypto, стандартный способ шифрования ZIP-файлов в Windows, — довольно легко обойти. Куда надёжнее использовать шифрование AES-256, встроенное во многие программы для создания 7z-архивов.
