V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hueidou
V2EX  ›  信息安全

谁听说过这种攻击方式吗?

  •  2
     
  •   hueidou · 233 天前 · 6211 次点击
    这是一个创建于 233 天前的主题,其中的信息可能已经有所发展或是发生改变。

    各位大佬,谁听说过这种攻击方式吗?

    我们的站点,有下载报告的功能,报告为 zip 包,含 pdf 和 html 文件。之前几年一直正常。

    直到有天客服开始收到很多用户任何浏览器下载报告报毒,经分析,是 Microsoft Defender SmartScreen 报的(用金山等替代或关闭,就不会报) 进一步分析,1 )它同时会以下载地址作为特征; 2 )报毒的是里面的 html 文件

    我们的措施是:html 是个 vue 单页应用打包为单个 html ,一开始认为是一些类库引发了病毒特征,遂改为 html 里直接 window.location 直接跳转在线版的方式。——当时解决了,不再报毒。

    过了几个月,再次发生报毒,仍然是 html ,难以理解仅一句 js 跳转的 html 也被报毒。

    怀疑:edge 浏览器有 [将此文件报告为不安全] 的功能,怀疑是有人恶意使用此功能,MDS 强制从 url 和 zip 包里找病毒特征,造成这种情况。

    这是什么新式的黑产吗?从网上找不到相关内容,我也不确定我的怀疑是否靠边。(之前我有个仅自己使用的个人站点被 edge 报不安全,所以我对 MDS 这种大家可以自行提交的方式很是怀疑,才联想到)

    请各位大佬帮忙看下,谢谢~!

    第 1 条附言  ·  232 天前
    • 用户是下载自己的报告,zip 包里的内容不是固定的。
    • 下载报告的位置有两处,从下面可以表明病毒特征跟下载地址也有关系:
      • 新环境新报告,A处下载报毒,B处下载报毒;
      • 新环境新报告,B处下载不报毒,A处下载报毒,B处下载报毒;
    第 2 条附言  ·  232 天前

    如下是edge里报告文件不安全的截图,微软这种方式真的合理吗?

    将此文件报告为不安全

    27 条回复    2024-04-10 10:19:10 +08:00
    Opportunity
        1
    Opportunity  
       233 天前
    我们的包打成 deb 又用 tar 包起来,也偶尔出现这种情况
    ztmzzz
        2
    ztmzzz  
       233 天前 via iPhone
    蓝奏云也报危险,误杀吧
    1343EFF
        3
    1343EFF  
       233 天前
    刷接口吧可能,疯狂提交你这个地址为不可信有风险
    bybyte
        4
    bybyte  
       233 天前
    长姿势了
    CEBBCAT
        5
    CEBBCAT  
       233 天前
    不是很了解,不过要不要尝试联系一下 MS ?也许他们对“业界”的各种模式已经熟稔了
    cheneydog
        6
    cheneydog  
       233 天前
    给文件加个可信签名怎么样?
    shuax
        7
    shuax  
       232 天前
    github 下东西 SmartScreen 都经常报毒,习惯就好
    forvvvv123
        8
    forvvvv123  
       232 天前
    zip 包加个密码试过吗
    shermie
        9
    shermie  
       232 天前   ❤️ 1
    @CEBBCAT 发注意你很久了,你虽然一股穷酸气,但还算挺有文化,熟稔这个词用的人还是少
    gitreny
        10
    gitreny  
       232 天前
    建议把站的连接发出来看看
    lxghost
        11
    lxghost  
       232 天前
    Microsoft Defender SmartScreen 的问题,不是病毒
    BAT
        12
    BAT  
       232 天前 via iPhone
    @shermie #9 哈哈哈哈哈哈哈哈哈哈哈哈
    tabris17
        13
    tabris17  
       232 天前
    加个 readme 文件,每次打包修改 readme 文件改变压缩包特征值,每周重新打包一次上传
    hueidou
        14
    hueidou  
    OP
       232 天前
    @tabris17 用户是下载自己的报告,zip 包里的内容不是固定的。
    CEBBCAT
        15
    CEBBCAT  
       232 天前
    @shermie #9 pardon ?
    shermie
        16
    shermie  
       232 天前
    @CEBBCAT 孔乙己 v2 分己
    felixlong
        17
    felixlong  
       232 天前   ❤️ 1
    @CEBBCAT @shermie 你们头像好般配。
    shermie
        18
    shermie  
       232 天前
    @felixlong 生成的 丑丑头像
    Northshad0w
        19
    Northshad0w  
       232 天前
    可能是防 html 走私这种钓鱼手段。但我用 html 走私的时候反而没出现过这种情况。
    hueidou
        20
    hueidou  
    OP
       232 天前
    @Northshad0w 主要我认为是跟下载地址也有关联。另外比如像 github 下载代码 zip 包这种常见行为,不太可能包含了含 js 的 html 就报毒。
    nothingistrue
        21
    nothingistrue  
       232 天前   ❤️ 1
    Microsoft 连测试团队都砍,你觉得它的人工审核团队能有多大。SmartScreen 不是杀毒软件,它是恶意软件、钓鱼等网络下载流氓软件检测器,不要被那个 Defender 迷惑了,微软为了营销(即时是免费软件的营销),经常乱点鸳鸯。

    而流氓软件检测器,它并不是报毒,而是抱出来让你自己手工确认。这种情况下,误报就太正常了,基本上下载文件的任何可执行行为,都会报。比如你要是 Chrome ,只要下载 exe 它就给你报。SmartScreen 相对还好点,有数字签名的 exe 它是不报的,(但还会提示你确认证书)。

    html 也属于可执行文件范畴,你只要带了,报是很正常的。既然有 pdf 了,就去掉 html 吧,这玩意显示效果不可控,还容易被中间人投毒。
    CEBBCAT
        22
    CEBBCAT  
       232 天前   ❤️ 7
    @Livid 我个人认为 @shermie 不是很友善;而且发推广(引流)的方式不太对(频率高,节点错误)。举例:

    (o) 用词不雅:喷粪拉屎、根本不会把你当回事知道吗、孔乙己 v2 分己、你虽然一股穷酸气
    https://www.v2ex.com/t/1029703#r_14544553
    https://www.v2ex.com/t/1029703#r_14544549
    https://www.v2ex.com/t/1030866#r_14561534
    https://www.v2ex.com/t/1030866#r_14560708

    (o) 在被提醒应该放推广节点后,仍然发送到了程序员节点
    提醒: https://www.v2ex.com/t/1029703#r_14544337
    推广: https://www.v2ex.com/t/1030303#reply0

    关于那个群聊,这是它的公告,里面另外还有一名客服


    Livid
        23
    Livid  
    MOD
       232 天前   ❤️ 3
    @CEBBCAT 谢谢,已经彻底 ban 。
    hueidou
        24
    hueidou  
    OP
       232 天前
    @nothingistrue 谢谢建议。我现在比较在意报毒跟下载 url 相关这个现象——到底是不是有人恶意上报,比较担心被人针对了。
    现在的措施:仍然是 html ,但去掉了 script ,只有一个 a 标签让用户点击跳转在线报告,现在不报毒了,但不能确定以后也不会报。
    nothingistrue
        25
    nothingistrue  
       232 天前
    @hueidou #24 并不需要被针对,你只要带了可执行代码,又没有数字证书/白名单,那没报出来才是漏报。exe 才能做数字证书,script 是没法做的,意味着你只要带了就大概率被报。a 标签这种纯 HTML ,应该是不会再被报的。理论上来说,如果你的 HTML 不包含任何 script ,它也不会被报。

    SmartScreen 报告的应该是下载链接,按照微软的习惯,如果真被报告了,他是会 ban 整个域名的,你下载还能时好时不好,那基本只能解释成好的时候是漏报。

    作为提供商,你只能避免任何可执行程序,尤其是脚本语言。实在避免不了的时候,要给用户做好被报告的原因说明。

    作为用户,最好是让这鸡肋还混蛋的 SmartScreen 滚蛋—— SmartScreen 以及欧美众多安全软件,现在更多的是检测盗版、破解等行为,而不是检测病毒。
    yangzzzzzz
        26
    yangzzzzzz  
       232 天前
    现在 edge chrome 下 10 个东西有 9 个都提示不安全
    jimrok
        27
    jimrok  
       232 天前
    可能你的下载方式被很多恶意软件利用过,触发了防范规则。这就跟人体过敏一样,触发过敏的异物不一定是有害的,只是免疫系统觉得它是有害的。只能的建议是把下载尽量做的透明一些,例如 zip 的连接不要用 script 触发。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5928 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 03:01 · PVG 11:01 · LAX 19:01 · JFK 22:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.