據報導,微軟已經開始掃描受密碼保護的 .ZIP 檔案以檢測惡意軟件,但並非所有人都對這一決定感到滿意。
Ars Technica 報導說,包括網絡安全研究人員在內的多名 Mastodon 用戶證實,微軟的防病毒程序已開始掃描受密碼保護的 .ZIP 檔案以尋找惡意內容。受密碼保護的 .ZIP 檔案是網絡罪犯通過電子郵件部署惡意軟件的最流行策略之一,因為電子郵件安全服務很少會標記它們。
該報導聲稱,這種做法對一些人來說 “是眾所周知的”,但對其他人來說卻是一個驚喜。例如,網絡安全研究人員安德魯·布蘭特對這個想法不太滿意,因為這使他很難通過 SharePoint 與其他研究人員分享惡意軟件。
他寫道:”雖然我完全理解這樣做對除了惡意軟件分析師以外的人來說是有意義的,但這種好管閑事、干涉別人業務的做法將成為像我這樣需要向同事發送惡意軟件樣本的人的一個大問題,可用空間只會越來越小,這將影響惡意軟件研究人員的工作能力。”
另一位研究人員凱文·博蒙特表示,該公司不僅掃描在 SharePoint 中存儲的文件,還掃描其 Microsoft 365 雲服務中的所有文件,並補充說有多種方法可以窺探受密碼保護的檔案。一種方法似乎是掃描電子郵件本身的內容,以尋找可能的密碼。
有時,人們會在電子郵件正文中分享 .ZIP 檔案的密碼。他寫道:”如果你給自己發一封郵件,並輸入類似 ‘ZIP 密碼是 Soph0s’ 的內容,然後用 Soph0s 將 EICAR 壓縮成 ZIP 檔案,它就會找到密碼,並提取出來。” 儘管這可能會讓一些人感到驚訝,但 Ars Technica 提醒說,受密碼保護的 .ZIP 檔案 “提供了最少的保證”,未經授權的第三方不會讀取內容。”
在 Windows 中加密 ZIP 檔案的默認方法很容易被覆蓋。報告總結道:”在創建 7z 檔案時,使用內置於許多壓縮軟件中的 AES-256 加密器是一種更可靠的方法。”
