电脑上装有 Microsoft Teams 个人版,今天开机 msteamsupdate.exe 一直在请求两个神奇的域名。
collector.azure.microsoft.scloud collector.azure.eaglex.ic.gov
这两个域名没有解析到 AAAA 记录,自然是无法连接的。 屡败屡战,完全没有控制发起频次, 从 8:33:01.242 到 8:33:59.608 一分钟时间里,两个进程(两个 PID)就请求了 49 次
==================================================
Host Name : collector.azure.microsoft.scloud
Query Type : AAAA
Process Name : msteamsupdate.exe
Time : 2024/6/21 8:32:41.876
Query Status : Error 9003
Process ID : 8308
Thread ID : 22488
Process Path : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe
==================================================
==================================================
Host Name : collector.azure.microsoft.scloud
Query Type : AAAA
Process Name : msteamsupdate.exe
Time : 2024/6/21 8:32:45.989
Query Status : Error 9003
Process ID : 8580
Thread ID : 8452
Process Path : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe
==================================================
==================================================
Host Name : collector.azure.eaglex.ic.gov
Query Type : AAAA
Process Name : msteamsupdate.exe
Time : 2024/6/21 8:32:47.611
Query Status : Error 9003
Query Result :
Other Query Result:
Process ID : 8308
Thread ID : 22488
==================================================
==================================================
Host Name : collector.azure.eaglex.ic.gov
Query Type : AAAA
Process Name : msteamsupdate.exe
Time : 2024/6/21 8:32:48.081
Query Status : Error 9003
Query Result :
Other Query Result:
Process ID : 8308
Thread ID : 22488
Process Path : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe
累计请求了好几百次吧,最后终于想起从
config.teams.microsoft.com
获取到了什么,总算消停了。
合理猜测: 第一个域名码错了,可能是
collector.azure.microsoft.[s]cloud
解析不到就以为自己在某种内网,开始连 ic-gov (我没记错的话所有.gov 域名都是美国政府机构?)。
想起 Microsoft 365 用户协议里有美国和加拿大的军队版条款,估计 Teams 也一样, 可能是版本没控制好。
美国真就是地球中心,一点水花都没有, 这种逻辑要在中国的 APP 上出现,会搞出不知道什么大新闻来。
Ref: [https://www.reddit.com/r/privacy/comments/1cstra9/suspicious_data_collection_after_windows_11/] [https://borncity.com/win/2024/05/14/strange-cloud-access-to-collector-azure/]
1
xunandotme 155 天前
我国内迁到国际 365 ,现在首次跳转还是备案号,ticket 过了,还是无效
|
2
fromdaytonight OP @xunandotme 看来账户隔离做的很差。我遇到的这问题应该也是 Bug ,把美国政府版的接入点放到了个人版逻辑里,是够傲慢的。
|
3
fromdaytonight OP |
4
fruitmonster 155 天前
我想知道这是用什么工具看的,是能查看某个应用请求的记录吗?
|
5
Ericality 155 天前
想多了 国内 app 只会发起请求风暴 一秒钟十条不是问题
(在你用本地代理之后 如果拒绝某些 app 如美团对 sdk 域名的请求 你就会发现美团只要打开 3 分钟之内手机必然发烫 因为他在后台刷屏请求域名 更神奇的是这种状态下 app 还能用 就是经常容易报网络错误需要重试) |
6
cksspk 155 天前
建议不用
|
7
fromdaytonight OP @fruitmonster Nirsoft 的小工具,DNSLookupView
@Ericality 这请求逻辑一样差。我想说的是,假设美团更新个包访问个公网不存在的 gov-cn ,域名里带个 collector ,rabbity 之类的,第二天就能上 v2 首页,第三天就有某些国际媒体报道了。 @cksspk 没有主动打开,也不处于登录状态,至少托盘没图标。 |
8
EIJAM 155 天前
@fromdaytonight 想多了。pdd 直接利用 0day 攻击用户手机,也没你想的这么快
|
9
fromdaytonight OP @EIJAM pdd 用的不算 0day 吧?我不专业,看起来性质并非出了 CVE 然后紧急更新利用对应的漏洞,而是直接自己挖掘用黑客技术提权、技术对抗。
这个定义上更接近世纪初的“流氓软件”,当然叫间谍软件也没问题。类似当年 3721 上网助手这样的。 |