V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fromdaytonight
V2EX  ›  微软

软式(美式)傲慢带来的 DNS 解析风暴?

  •  
  •   fromdaytonight · 155 天前 · 1786 次点击
    这是一个创建于 155 天前的主题,其中的信息可能已经有所发展或是发生改变。

    电脑上装有 Microsoft Teams 个人版,今天开机 msteamsupdate.exe 一直在请求两个神奇的域名。

    collector.azure.microsoft.scloud	collector.azure.eaglex.ic.gov
    

    这两个域名没有解析到 AAAA 记录,自然是无法连接的。 屡败屡战,完全没有控制发起频次, 从 8:33:01.242 到 8:33:59.608 一分钟时间里,两个进程(两个 PID)就请求了 49 次

    ==================================================
    Host Name         : collector.azure.microsoft.scloud
    Query Type        : AAAA
    Process Name      : msteamsupdate.exe
    Time              : 2024/6/21 8:32:41.876
    Query Status      : Error 9003
    Process ID        : 8308
    Thread ID         : 22488
    Process Path      : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe
    ==================================================
    
    ==================================================
    Host Name         : collector.azure.microsoft.scloud
    Query Type        : AAAA
    Process Name      : msteamsupdate.exe
    Time              : 2024/6/21 8:32:45.989
    Query Status      : Error 9003
    Process ID        : 8580
    Thread ID         : 8452
    Process Path      : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe
    ==================================================
    
    ==================================================
    Host Name         : collector.azure.eaglex.ic.gov
    Query Type        : AAAA
    Process Name      : msteamsupdate.exe
    Time              : 2024/6/21 8:32:47.611
    Query Status      : Error 9003
    Query Result      : 
    Other Query Result: 
    Process ID        : 8308
    Thread ID         : 22488
    ==================================================
    
    ==================================================
    Host Name         : collector.azure.eaglex.ic.gov
    Query Type        : AAAA
    Process Name      : msteamsupdate.exe
    Time              : 2024/6/21 8:32:48.081
    Query Status      : Error 9003
    Query Result      : 
    Other Query Result: 
    Process ID        : 8308
    Thread ID         : 22488
    Process Path      : C:\Program Files\WindowsApps\MicrosoftTeams_24124.2402.2858.5617_x64__8wekyb3d8bbwe\msteamsupdate.exe
    

    累计请求了好几百次吧,最后终于想起从

    config.teams.microsoft.com
    

    获取到了什么,总算消停了。 DNSLookupView 截图,连续几十次请求两个域名解析

    合理猜测: 第一个域名码错了,可能是

    collector.azure.microsoft.[s]cloud
    

    解析不到就以为自己在某种内网,开始连 ic-gov (我没记错的话所有.gov 域名都是美国政府机构?)。

    想起 Microsoft 365 用户协议里有美国和加拿大的军队版条款,估计 Teams 也一样, 可能是版本没控制好。

    美国真就是地球中心,一点水花都没有, 这种逻辑要在中国的 APP 上出现,会搞出不知道什么大新闻来。

    Ref: [https://www.reddit.com/r/privacy/comments/1cstra9/suspicious_data_collection_after_windows_11/] [https://borncity.com/win/2024/05/14/strange-cloud-access-to-collector-azure/]

    9 条回复    2024-06-21 12:35:58 +08:00
    xunandotme
        1
    xunandotme  
       155 天前
    我国内迁到国际 365 ,现在首次跳转还是备案号,ticket 过了,还是无效
    fromdaytonight
        2
    fromdaytonight  
    OP
       155 天前
    @xunandotme 看来账户隔离做的很差。我遇到的这问题应该也是 Bug ,把美国政府版的接入点放到了个人版逻辑里,是够傲慢的。
    fromdaytonight
        3
    fromdaytonight  
    OP
       155 天前
    fruitmonster
        4
    fruitmonster  
       155 天前
    我想知道这是用什么工具看的,是能查看某个应用请求的记录吗?
    Ericality
        5
    Ericality  
       155 天前
    想多了 国内 app 只会发起请求风暴 一秒钟十条不是问题
    (在你用本地代理之后 如果拒绝某些 app 如美团对 sdk 域名的请求 你就会发现美团只要打开 3 分钟之内手机必然发烫 因为他在后台刷屏请求域名 更神奇的是这种状态下 app 还能用 就是经常容易报网络错误需要重试)
    cksspk
        6
    cksspk  
       155 天前
    建议不用
    fromdaytonight
        7
    fromdaytonight  
    OP
       155 天前 via Android
    @fruitmonster Nirsoft 的小工具,DNSLookupView

    @Ericality 这请求逻辑一样差。我想说的是,假设美团更新个包访问个公网不存在的 gov-cn ,域名里带个 collector ,rabbity 之类的,第二天就能上 v2 首页,第三天就有某些国际媒体报道了。

    @cksspk 没有主动打开,也不处于登录状态,至少托盘没图标。
    EIJAM
        8
    EIJAM  
       155 天前
    @fromdaytonight 想多了。pdd 直接利用 0day 攻击用户手机,也没你想的这么快
    fromdaytonight
        9
    fromdaytonight  
    OP
       155 天前 via Android
    @EIJAM pdd 用的不算 0day 吧?我不专业,看起来性质并非出了 CVE 然后紧急更新利用对应的漏洞,而是直接自己挖掘用黑客技术提权、技术对抗。

    这个定义上更接近世纪初的“流氓软件”,当然叫间谍软件也没问题。类似当年 3721 上网助手这样的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   968 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 20:17 · PVG 04:17 · LAX 12:17 · JFK 15:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.