各位大佬,谁听说过这种攻击方式吗?
我们的站点,有下载报告的功能,报告为 zip 包,含 pdf 和 html 文件。之前几年一直正常。
直到有天客服开始收到很多用户任何浏览器下载报告报毒,经分析,是 Microsoft Defender SmartScreen 报的(用金山等替代或关闭,就不会报)
进一步分析,1 )它同时会以下载地址作为特征; 2 )报毒的是里面的 html 文件
我们的措施是:html 是个 vue 单页应用打包为单个 html ,一开始认为是一些类库引发了病毒特征,遂改为 html 里直接 window.location 直接跳转在线版的方式。——当时解决了,不再报毒。
过了几个月,再次发生报毒,仍然是 html ,难以理解仅一句 js 跳转的 html 也被报毒。
怀疑:edge 浏览器有 [将此文件报告为不安全] 的功能,怀疑是有人恶意使用此功能,MDS 强制从 url 和 zip 包里找病毒特征,造成这种情况。
这是什么新式的黑产吗?从网上找不到相关内容,我也不确定我的怀疑是否靠边。(之前我有个仅自己使用的个人站点被 edge 报不安全,所以我对 MDS 这种大家可以自行提交的方式很是怀疑,才联想到)
请各位大佬帮忙看下,谢谢~!

用户是下载自己的报告,zip 包里的内容不是固定的。

下载报告的位置有两处,从下面可以表明病毒特征跟下载地址也有关系:
新环境新报告,A处下载报毒,B处下载报毒;
新环境新报告,B处下载不报毒,A处下载报毒,B处下载报毒;

如下是edge里报告文件不安全的截图,微软这种方式真的合理吗?

我们的包打成 deb 又用 tar 包起来,也偶尔出现这种情况

蓝奏云也报危险,误杀吧

刷接口吧可能,疯狂提交你这个地址为不可信有风险

长姿势了

不是很了解,不过要不要尝试联系一下 MS ?也许他们对“业界”的各种模式已经熟稔了

给文件加个可信签名怎么样?

github 下东西 SmartScreen 都经常报毒,习惯就好

zip 包加个密码试过吗

发注意你很久了,你虽然一股穷酸气,但还算挺有文化,熟稔这个词用的人还是少

建议把站的连接发出来看看

Microsoft Defender SmartScreen 的问题,不是病毒

#9 哈哈哈哈哈哈哈哈哈哈哈哈

加个 readme 文件,每次打包修改 readme 文件改变压缩包特征值,每周重新打包一次上传

用户是下载自己的报告,zip 包里的内容不是固定的。

#9 pardon ?

孔乙己 v2 分己

你们头像好般配。

生成的 丑丑头像

可能是防 html 走私这种钓鱼手段。但我用 html 走私的时候反而没出现过这种情况。

主要我认为是跟下载地址也有关联。另外比如像 github 下载代码 zip 包这种常见行为,不太可能包含了含 js 的 html 就报毒。

Microsoft 连测试团队都砍,你觉得它的人工审核团队能有多大。SmartScreen 不是杀毒软件,它是恶意软件、钓鱼等网络下载流氓软件检测器,不要被那个 Defender 迷惑了,微软为了营销(即时是免费软件的营销),经常乱点鸳鸯。而流氓软件检测器,它并不是报毒,而是抱出来让你自己手工确认。这种情况下,误报就太正常了,基本上下载文件的任何可执行行为,都会报。比如你要是 Chrome ,只要下载 exe 它就给你报。SmartScreen 相对还好点,有数字签名的 exe 它是不报的,(但还会提示你确认证书)。html 也属于可执行文件范畴,你只要带了,报是很正常的。既然有 pdf 了,就去掉 html 吧,这玩意显示效果不可控,还容易被中间人投毒。

我个人认为 不是很友善;而且发推广(引流)的方式不太对(频率高,节点错误)。举例:(o) 用词不雅:喷粪拉屎、根本不会把你当回事知道吗、孔乙己 v2 分己、你虽然一股穷酸气 www.hesudu.com/t/1029703#r_14544553 www.hesudu.com/t/1029703#r_14544549 www.hesudu.com/t/1030866#r_14561534 www.hesudu.com/t/1030866#r_14560708(o) 在被提醒应该放推广节点后,仍然发送到了程序员节点提醒: www.hesudu.com/t/1029703#r_14544337推广: www.hesudu.com/t/1030303#reply0关于那个群聊,这是它的公告,里面另外还有一名客服
谢谢,已经彻底 ban 。

谢谢建议。我现在比较在意报毒跟下载 url 相关这个现象——到底是不是有人恶意上报,比较担心被人针对了。现在的措施:仍然是 html ,但去掉了 script ,只有一个 a 标签让用户点击跳转在线报告,现在不报毒了,但不能确定以后也不会报。

#24 并不需要被针对,你只要带了可执行代码,又没有数字证书/白名单,那没报出来才是漏报。exe 才能做数字证书,script 是没法做的,意味着你只要带了就大概率被报。a 标签这种纯 HTML ,应该是不会再被报的。理论上来说,如果你的 HTML 不包含任何 script ,它也不会被报。SmartScreen 报告的应该是下载链接,按照微软的习惯,如果真被报告了,他是会 ban 整个域名的,你下载还能时好时不好,那基本只能解释成好的时候是漏报。作为提供商,你只能避免任何可执行程序,尤其是脚本语言。实在避免不了的时候,要给用户做好被报告的原因说明。作为用户,最好是让这鸡肋还混蛋的 SmartScreen 滚蛋—— SmartScreen 以及欧美众多安全软件,现在更多的是检测盗版、破解等行为,而不是检测病毒。

现在 edge chrome 下 10 个东西有 9 个都提示不安全

可能你的下载方式被很多恶意软件利用过,触发了防范规则。这就跟人体过敏一样,触发过敏的异物不一定是有害的,只是免疫系统觉得它是有害的。只能的建议是把下载尽量做的透明一些,例如 zip 的连接不要用 script 触发。