web-dev-qa-db-ja.com

パスワードで保護されたメールの添付ファイルをスキャンしてマルウェアを検出する

パスワードで保護されたアーカイブファイルが添付されている場合、メールの通過を防ぐメールポリシーがあります。これは、アーカイブのコンテンツをスキャンできないため、ウイルスやトロイの木馬からユーザーを保護するためです。ただし、クライアントが他の転送方法を使用するように指示する必要があるため、クライアントが機密データを送信する必要がある場合、これはかなり不便になります。

それで、電子メールの本文のコンテンツを使用してこれらのファイルをブルートフォース化しようとするソフトウェアをセットアップできるかどうか疑問に思っていましたか?パスワードで保護されたファイルを使用してスキャンをこっそり行うマルウェアには、被害者がアーカイブを開いて無意識のうちにマルウェアをアクティブ化できるように、パスワードを含める必要があることを理解しました。アーカイブが妥当な時間内に開かない場合、ファイルが受信者によって信頼されたソースからのものである場合、ファイルは比較的安全であると見なされます。

そのようなソリューションが存在しないか、作成できない場合は、他の合理的なソリューションの提案も歓迎します。

emailantivirusfile-encryption
2
Kaivosukeltaja

多くの「パスワード保護」機能を備えた多くのアーカイブ形式があります。 Zipアーカイブが伝統的に 壊れている のカスタムストリーム暗号を使用していたのは偶然です。しかし、ブレークは実際に実装することができ、既知のプレーンテキストバイトが比較的少ない(13〜40)必要ですが、そのコストはまだ少し高くなります(約238 ストリーム暗号の基本ステップ)。これは学生にとっては素晴らしい実装の演習であり、自家製のスキームに対する効果的な警告ですが、アンチウイルスでそれを自動的に行うことはあまり実用的ではありません。

さらに、最近のZip実装はAESベースの暗号化に切り替わりましたが、これは壊れていません。

パスワードで保護されたアーカイブを突破するには、「パスワードを推測する」必要があります。これがマルウェアでどのように機能するかを見てみましょう。このようなマルウェアは、数百万人に自動的にメールを送信します。分析を回避するために、パスワードで保護されたアーカイブとして自身を暗号化しますが、これはもちろん、被害者がアーカイブを開くことができる場合にのみ、マルウェアに対して有効です。したがって、被害者はパスワードを「推測」する必要があります。したがって、マルウェアが行うのは、電子メールにパスワードを「テキスト」として含めることです。人間の犠牲者はパスワードを見て、それを使用してアーカイブを開きます。

マルウェアは、ブルートフォースを打ち負かすのに十分ランダムなパスワードを考え出すことは何の問題もありません。これにより、「破壊的な試み」の戦略が効果を発揮できなくなります。実際、あなたがcanアンチウイルスからパスワードを見つけた場合、アーカイブはおそらくnotマルウェアからのものですが、正直な人間(多くの正直な人々のように、強力なパスワードを使用できないようです)。

アーカイブスキャンの戦略は、被害者と同じ方法でパスワードを推測するために、人間のユーザーのように電子メールの内容を「理解」することを意味します。これは難しいことです。マルウェアは、被害者がパスワードを「見る」ことができるようにパスワードをエンコードする必要があるため、ピクセルサイズのセルを含むHTMLテーブル(各セルの背景色を変更して、目に見える画像)、精巧なシャレード(「パスワードはドイツの首都です」)、...(私はこれらすべてが採用されているのを見てきました)。皮肉なことに、これは [〜#〜] captcha [〜#〜] を解こうとするかのように、アンチウイルスを攻撃位置に置きます。

これらすべての1行の要約は、機能しません。

純粋に自動化されたウイルス対策ソフトウェアは、マルウェアのベクトルとして使用されるパスワードで保護されたアーカイブを「突破」することはできません。アンチウイルスmayいくつかのヒューリスティックを介してこのようなマルウェアを検出します。例えばパスワードで保護されたアーカイブが存在すると、「スパムスコア」が増加し、他の電子メール機能からの他の悪い点と組み合わされて、「これはスパム/マルウェアです」という結論に至る可能性があります。ただし、これは通常のトレードオフに戻ります。一部のスパム/マルウェアwillは通過し、一部の非マルウェアwillはブロックされます。

代替戦略:

  • パスワードで保護されたアーカイブをブロックします。顧客向けの別の転送システムを手配します。ファイルをアップロードできるHTTPSベースのサーバー。

  • 遅延人間のオペレーターがそれらを見て「良い」または「悪い」と宣言するまで、パスワード保護された電子メール。インターンは安いです。しかし、余分なレイテンシはビジネスの妨げになる可能性があり、人間の検査官は失敗する可能性があり、十分に支払われていない部下が電子メールを検査すると、追加のセキュリティ問題が発生する可能性があります(競合他社は賄賂を受け取る人を知っており、それは高価ではありません)。

  • ユーザーのデスクトップシステムにウイルス対策権限を実装し、ユーザーが実際にアーカイブを開いたときに実行されるようにします。その時点でパスワードを入力したため、クリアなコンテンツが利用可能になり、ウイルス対策が機能する可能性があります。もちろん、これには欠点があります。すべてのデスクトップシステムで効率的なウイルス対策を維持するには費用がかかり、相互運用性の問題が発生し、場合によっては実行できません(例 [〜#〜] byod [〜#〜] =世界)。

  • 特定の宛先アドレスと公開鍵を使用して、PGP暗号化でアーカイブを保護することを顧客に要求します。対応する秘密鍵はアンチウイルスが所有し、コンテンツをスキャンして組織内の実際のユーザーに(内部で)転送できます(この2番目のステップでは暗号化を使用する必要はありません。通信網)。

実際には、このマルウェアスキャンの問題すべてが原因ではなく、より一般的な理由から、最初のシステムを使用する必要があります。大きなメールはうまく行きません。多くの電子メールサーバーは、制限よりも大きい電子メール(通常は約5メガバイト)をドロップします。 5 MBは以前はhugeでしたが、現在はそうではありません。一部の写真を含むPowerPointプレゼンテーションは、簡単にそのサイズを超えます。したがって、非メールベースの転送メカニズムを使用する必要があります。 HTTPSで保護されたWebベースのアップロードシステムを導入するのは難しくありません。 Dropbox をその原則の延長として使用する人もいます。

4
Tom Leek

圧縮アーカイブのパスワードまたは暗号化スキームが信じられないほど弱い場合を除き、アーカイブファイルをスキャンしてスキャンするためのコストはコストがかかります*

暗号化されていない本文からキーワードや文字を取得して復号化を試みるプログラムは可能ですが、正当な機密の電子メールでは失敗します(もちろん、これらの電子メールにはパスワードを含めません)。マルウェアが電子メールのパスワードからアンパックされると仮定すると、マルウェアが復号化パスワードのインターネットリンクまたはイメージを参照しているかどうかに依存します。その後、AIテリトリーへのアクセスを開始します。

いくつかの代替案:

  • 機密の添付ファイルはすべて、会社から提供された公開鍵で暗号化する必要があります。マルウェアスキャナー(またはスキャナーがあまり柔軟でない場合は前処理アプリ)を構成して、その公開キーの秘密キーですべての添付ファイルを復号化しようとします。同じアプローチは、関連するすべての秘密鍵が会社のマルウェアスキャナーによって認識されている場合、スタッフメンバーごとにも機能します。
  • クライアント側/デスクトップのマルウェアスキャンのみを使用します。本当に偏執的である場合は、他のアカウント権限を持たず、毎晩または週末に工場出荷時にリセットするサンドボックスコンピューターからのみ表示/アクセスできるメールアカウントのメールサーバーマルウェアスキャンのみを無効にしてください。
  • Dropboxまたは他の集荷サービスへの電子メールリンクを自動化します。
  • BMPまたはPNGとしてアーカイブを送信することにより、独自のマルウェアスキャナーを破壊します。これは、経営陣とスタッフによっては、不合理な解決策になる場合があります。)

* スターの計算結果 が必要です。

1
LateralFractal