谁听说过这种攻击方式吗?

253 天前
 hueidou

各位大佬,谁听说过这种攻击方式吗?

我们的站点,有下载报告的功能,报告为 zip 包,含 pdf 和 html 文件。之前几年一直正常。

直到有天客服开始收到很多用户任何浏览器下载报告报毒,经分析,是 Microsoft Defender SmartScreen 报的(用金山等替代或关闭,就不会报) 进一步分析,1 )它同时会以下载地址作为特征; 2 )报毒的是里面的 html 文件

我们的措施是:html 是个 vue 单页应用打包为单个 html ,一开始认为是一些类库引发了病毒特征,遂改为 html 里直接 window.location 直接跳转在线版的方式。——当时解决了,不再报毒。

过了几个月,再次发生报毒,仍然是 html ,难以理解仅一句 js 跳转的 html 也被报毒。

怀疑:edge 浏览器有 [将此文件报告为不安全] 的功能,怀疑是有人恶意使用此功能,MDS 强制从 url 和 zip 包里找病毒特征,造成这种情况。

这是什么新式的黑产吗?从网上找不到相关内容,我也不确定我的怀疑是否靠边。(之前我有个仅自己使用的个人站点被 edge 报不安全,所以我对 MDS 这种大家可以自行提交的方式很是怀疑,才联想到)

请各位大佬帮忙看下,谢谢~!

6233 次点击
所在节点    信息安全
27 条回复
nothingistrue
253 天前
Microsoft 连测试团队都砍,你觉得它的人工审核团队能有多大。SmartScreen 不是杀毒软件,它是恶意软件、钓鱼等网络下载流氓软件检测器,不要被那个 Defender 迷惑了,微软为了营销(即时是免费软件的营销),经常乱点鸳鸯。

而流氓软件检测器,它并不是报毒,而是抱出来让你自己手工确认。这种情况下,误报就太正常了,基本上下载文件的任何可执行行为,都会报。比如你要是 Chrome ,只要下载 exe 它就给你报。SmartScreen 相对还好点,有数字签名的 exe 它是不报的,(但还会提示你确认证书)。

html 也属于可执行文件范畴,你只要带了,报是很正常的。既然有 pdf 了,就去掉 html 吧,这玩意显示效果不可控,还容易被中间人投毒。
CEBBCAT
253 天前
@Livid 我个人认为 @shermie 不是很友善;而且发推广(引流)的方式不太对(频率高,节点错误)。举例:

(o) 用词不雅:喷粪拉屎、根本不会把你当回事知道吗、孔乙己 v2 分己、你虽然一股穷酸气
https://www.v2ex.com/t/1029703#r_14544553
https://www.v2ex.com/t/1029703#r_14544549
https://www.v2ex.com/t/1030866#r_14561534
https://www.v2ex.com/t/1030866#r_14560708

(o) 在被提醒应该放推广节点后,仍然发送到了程序员节点
提醒: https://www.v2ex.com/t/1029703#r_14544337
推广: https://www.v2ex.com/t/1030303#reply0

关于那个群聊,这是它的公告,里面另外还有一名客服


Livid
253 天前
@CEBBCAT 谢谢,已经彻底 ban 。
hueidou
253 天前
@nothingistrue 谢谢建议。我现在比较在意报毒跟下载 url 相关这个现象——到底是不是有人恶意上报,比较担心被人针对了。
现在的措施:仍然是 html ,但去掉了 script ,只有一个 a 标签让用户点击跳转在线报告,现在不报毒了,但不能确定以后也不会报。
nothingistrue
253 天前
@hueidou #24 并不需要被针对,你只要带了可执行代码,又没有数字证书/白名单,那没报出来才是漏报。exe 才能做数字证书,script 是没法做的,意味着你只要带了就大概率被报。a 标签这种纯 HTML ,应该是不会再被报的。理论上来说,如果你的 HTML 不包含任何 script ,它也不会被报。

SmartScreen 报告的应该是下载链接,按照微软的习惯,如果真被报告了,他是会 ban 整个域名的,你下载还能时好时不好,那基本只能解释成好的时候是漏报。

作为提供商,你只能避免任何可执行程序,尤其是脚本语言。实在避免不了的时候,要给用户做好被报告的原因说明。

作为用户,最好是让这鸡肋还混蛋的 SmartScreen 滚蛋—— SmartScreen 以及欧美众多安全软件,现在更多的是检测盗版、破解等行为,而不是检测病毒。
yangzzzzzz
253 天前
现在 edge chrome 下 10 个东西有 9 个都提示不安全
jimrok
252 天前
可能你的下载方式被很多恶意软件利用过,触发了防范规则。这就跟人体过敏一样,触发过敏的异物不一定是有害的,只是免疫系统觉得它是有害的。只能的建议是把下载尽量做的透明一些,例如 zip 的连接不要用 script 触发。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1030866

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX