Wenn ich mich richtig erinnere kannst du zip (u.a) nicht mit Rainbow Table cracken da der Hash nicht Teil des Archives ist womit nur das gute alte Bruteforce bleibt, und ich glaube jetzt nicht das Microsoft darauf Rechenzeit verschwendet.
Die werden, wie Google, einfach den Inhalt (Dateiliste) des zip parsen und dann anhand der Dateinamen (und CRC) „vermuten“ was Malware sein könnte und was nicht.
Bei Passwortgeschützten zip ist ja nur der „Inhalt“ verschlüsselt, nicht der Container.
Ich glaube (das ist meine Meinung, aber ich habe es auch gelesen und weiß es aus Erfahrung), dass diese ZIP-Dateien von Malware-Analysten meistens immer mit dem gleichen Passwort verschlüsselt werden, das „infect“ oder „infected“ oder auch „virus“ heißt. Das sind gängige Passwörter für ZIP-Archive. Jeder, der schon einmal Proben eingereicht hat, weiß, wovon ich spreche. Denn dort ist es so gefordert, dass die hochgeladenen ZIP Dateien, diese Passwörter haben müssen. Diese ZIP Dateien landen dann zur Analyse in einem Cloudspeicher bei diesen Analysten und Microsoft Defender wird dann anhand einer Passwortliste einfach die gängigsten sagen wir 150 Passwörter ausprobieren. Es gibt auch eine Extraktion durch Parsen der E-Mails, wo nach Feldern wie „Username“ oder „PW“ oder auch „Password“ gesucht wird, um diese dann auszuprobieren. Möglich ist auch ein aktives Zusammenstellen solcher Listen und „Mergen“ aus mehreren E-Mails verschiedener Benutzer, die dann durch Auszählen von Millionen von Passwörtern zu einer Hauptliste kommen. Das kann dann auch wieder „gerankt“ werden. Es ist also vieles möglich. Bruteforce ist zu rechenintensiv, ZIP Dateien sind AES 256 Bit oder 128 Bit verschlüsselt (je nach Programm) und das würde viel zu lange dauern mit explodierenden Stromkosten und dann zu unsicher im Endergebnis (wie mein Vorposter das richtig anmerkt). Ein Hash Abgleich wird nur begrenzt funktionieren, wenn man die gleiche Datei mit der gleichen Methode 5 Archive erstellt, hat man 5 verschiedene Hashes, probier es aus, du wirst sehen, es stimmt! Das liegt daran, dass die ZIP-Datei die Chunks immer wieder neu zusammenstellt und in das Archiv packt und dabei immer wieder kleinste Unterschiede auftreten, die zu einem anderen (leicht anderen) Ergebnis führen! Deshalb kann man vom Hash eines Archivs nicht auf den Inhalt schließen, es sei denn, es handelt sich um eine exakte Kopie des Archivs.
Für Malware-Analysten wie ihn sei “diese Art der neugierigen, sich in Ihr Geschäft einmischenden Handhabung ” jedoch ein großes Problem. Er warnt ausdrücklich davor, dies könne sich negativ “auf die Fähigkeit der Malware-Forscher auswirken, ihre Arbeit zu erledigen ”.
Haben die Herrn Malware-Analysten denn nicht mal einen eigenen Server für 3,90€ Hoch steht das Klavier, ich trag die Noten…
Beschwert sich darüber, dass die Sharepoint-Instanz seinen Datenmüll erkennt. Obwohl seine Arbeit eigentlich die User solcher Dienste genau vor diesem Müll schützen soll…