Detección de malware en archivos comprimidos con contraseña

Según una publicación reciente de Ars Technica, los servicios cloud de Microsoft estarían analizando archivos en busca de código malicioso "husmeando" en archivos comprimidos en formato ZIP, incluso aunque estén protegidos por contraseña. En el siguiente artículo analizaremos si esto es motivo de alarma en lo que respecta a la privacidad o representa una mejora en la detección de amenazas para evitar la propagación masiva de malware.

Análisis de archivos comprimidos con contraseñas

El uso de archivos comprimidos para propagar todo tipo de amenazas mediante adjuntos en el correo electrónico o archivos descargados desde Internet es algo que los ciberdelincuentes llevan haciendo desde hace años. Con el tiempo, algunos empezaron a proteger estos archivos comprimidos con contraseñas que el usuario debe introducir para acceder a su contenido y ahora algunos usuarios han detectado que Microsoft estaría tratando de saltarse esta protección para analizar los archivos comprimidos en busca de posibles amenazas, algo que Google lleva haciendo desde hace tiempo.

Aunque el análisis de archivos comprimidos y protegidos por contraseña en entornos cloud de Microsoft y otras plataformas como Google es conocido por varios usuarios, esto ha pillado por sorpresa a algunas personas, como al investigador de ciberseguridad Andrew Brandt. Este investigador lleva tiempo archivando muestras de malware en archivos ZIP protegidos con contraseña antes de compartirlos con otros investigadores mediante SharePoint.

Fue el pasado lunes cuando este investigador publicó en Mastodont que el servicio de Microsoft le había detectado un archivo comprimido con la contraseña "infected". Este punto es importante, puesto que el uso de la palabra "infected" es un estándar de facto que lleva décadas utilizándose para intercambiar muestras de malware entre investigadores de una forma segura, y así evitar que alguien que reciba estos archivo por equivocación pueda abrirlos e infectar su sistema.

Por supuesto, al tratarse de algo sobradamente conocido, no son precisamente pocos los sistemas de detección de amenazas que llevan años probando esta y otras contraseñas comunes en los archivo comprimidos con contraseña para tratar de analizarlos y detectar la presencia de código malicioso. Sin embargo, ahora parece que el problema ha virado hacia aspectos más relacionados con la privacidad, ya que el investigador se queja de este tipo de intromisión y de cómo esta dificulta la compartición de muestras entre sus colegas de profesión.

Una posible explicación

Ante esta situación y por cómo se ha contado la noticia, parecería que Microsoft y otras empresas estarían tratando de crackear todos los archivos protegidos con contraseñas que pasan por sus servicios de almacenamiento y envío de archivos. Si bien es cierto que contraseña como “infected” y otras similares pueden ser fácilmente averiguadas usando técnicas de fuerza bruta, parece que toda esta polémica tiene una sencilla explicación.

Tal y como explica en un hilo en Twitter el veterano experto en seguridad @VessOnSecurity, en realidad no hace falta conocer la contraseña de un archivo comprimido para revisar si contienen malware. Esto explicaría que Microsoft, Google y otras empresas relacionadas con la ciberseguridad sean capaces de analizar los archivos que se comparten usando sus servicios en busca de código malicioso, algo que solo requiere de tres condiciones previas.

La primera de estas condiciones es que el malware ya esté previamente detectado por un antivirus o los sistemas de seguridad propios que utilizan empresas como Microsoft y Google. La segunda condición es que el malware se encuentre en archivos cuyo contenido sea constante, es decir, no hablamos de gusanos polimórficos que modifiquen su código, macros que se almacenen en documentos de diferente tipo o virus parasitarios que se acoplen a otros archivos. Aun con estas excepciones, esto nos deja con mucho malware que puede ser detectado.

La tercera y última condición es que el motor de análisis no se base únicamente en el análisis de cadenas de código, algo que prácticamente todos los antivirus actuales ya cumplen desde hace décadas, por lo que se asume que esta condición se cumple en casi todas las ocasiones. Una vez cumplidas estas condiciones, es posible analizar un archivo comprimido con contraseña en búsqueda de malware aun sin conocer la clave.

Llegados a este punto, es importante saber que cuando se intenta descomprimir un archivo se necesita algún método para comprobar que este proceso se ha realizado sin errores y el archivo original no se ha corrompido. Para confirmar que no ha habido corrupción del archivo original, entre los metadatos del archivo que se pueden revisar sin necesidad de conocer la contraseña del archivo comprimido se encuentra el checksum o suma de verificación del archivo sin comprimir, y que actuaría como una especie de verificador de que el archivo no ha sufrido ninguna alteración.

Si el malware contenido dentro de un archivo comprimido con contraseña se encuentra en un archivo constante que no se modifica, todo lo que necesitamos es el comprobador de redundancia cíclica (CRC) que actúa como identificador de ese archivo y compararlo con muestras de amenazas que estén almacenadas para comprobar si estamos ante un malware conocido, sin necesidad alguna de conocer la contraseña del archivo comprimido. Incluso aquí hay una regla de Yara haciendo exactamente lo mismo, sin conocer la contraseña del archivo comprimido.

Así es como los motores antivirus y los sistemas de seguridad de empresas como Microsoft y Google detectan amenazas y las bloquean antes de que el usuario pueda abrir los archivos comprimidos y ejecutar su contenido. Actualmente, los usuarios necesitan toda la ayuda posible para evitar que sus sistemas se vean comprometidos, y habiendo comprobado que realmente no hace falta saber la contraseña de un archivo comprimido para analizarlo en búsqueda de malware, el debate sobre la privacidad parece fuera de lugar en este caso.

Por último, en lo que respecta a la compartición de archivos sospechosos entre investigadores, existen formas alternativas que lo permiten sin tener que recurrir al envío de archivos potencialmente peligrosos protegidos por contraseñas sobradamente conocidas a través de canales que no están pensados para ese fin.

Fuente: Protegerse