長期以來,將檔案內容壓縮到 Zip 檔案後再藏於電子郵件或載點中一直是惡意人士散播最直接的方式之一,部分威脅參與者透過以必須輸入密碼的 Zip 來提高收件人的信任度,可以說是無所不用其極。現在微軟在自家的 OneDrive 雲端空間對這些以密碼保護的 Zip 檔案進行病毒掃描,就是要揪出這些潛藏的壞東西。
微軟 OneDrive 開始掃描受密碼保護的 Zip 檔中是否有惡意病毒
對於大多數一般人來說,微軟開始掃描雲端硬碟中設定密碼保護的 Zip 檔是否病毒這件事是一大福音,可以防止用戶在無意中下載了危險的惡意軟體。安全研究人員長期以來一直將惡意軟體存檔在受密碼保護的 Zip檔中,然後透過 SharePoint 與其他研究人員交換,顯然這項新舉措對於安全研究人員來說就是個困擾。
安全分析師 Brandt 表示,雖然我完全理解為惡意軟體分析師以外的任何人這樣做的好處,但對於像他這樣需要向同事發送惡意軟體樣本的人來說將成為一個大問題,有點多管閒事。Brandt 還說,去年微軟的 OneDrive 開始備份他儲存在 Windows 資料夾中的惡意檔案,因為他的端點安全工具建立了一個例外清單(即允許清單)。後來卻發現,一旦文件進入 OneDrive,它們就會從他的筆記型電腦硬碟上把檔案移除,並在他的 OneDrive 帳戶中被標記為惡意軟體。
這種做法說明了線上服務在試圖保護終端使用者免受常見威脅與尊重用戶隱私時兩者之間的邊緣遊走。正如 Brandt 所指出的那樣,主動破解受密碼保護的 Zip 文件會讓人感覺具有侵入性。同時,這種做法幾乎可以確保大量用戶不會成為試圖感染其電腦的攻擊犧牲品。最理想也最能被接受的做法,應該是將這個掃描選項開放讓用戶自行開關以符合所有人工作與隱私上的需求。
最後,大家應該記住一件事:受密碼保護的 Zip 檔只能保證檔案中的內容無法被讀取。ZipCrypto 是在 Windows 中加密 Zip 文件的預設方法,覆蓋起來很簡單。另一種更有效的方法是在建立 256z 檔時使用內件於許多壓縮程式中的 AES-7 加密。
