我们目前正在处理 3CX 供应链攻击的后果,其中一部分让我将我们的产品程序集和可执行文件的大部分上传到 VirusTotal,以检查是否有东西受到损害。
除了通常的误报之外,当通过 Zenbox 的行为分析报告了我无法解释的各种 DNS 请求时,我开始怀疑 - 有问题的可执行文件是 Windows 服务的简单包装,通过 System.ServiceProcess.ServiceBase 处理基本功能,真的没什么花哨的.
如果我在调试配置中编译,一切似乎都很好,但是一旦我切换到发布配置并重建,Zenbox 就会检测到对 fp2E7A.wpc.2BE4.phicdn.net 和 fp2e7a.wpc.phicdn.net 的调用。没有任何一行代码可以导致这些调用,我仔细检查了所有内容,甚至反编译了构建的 exe。
最后,我只是从 VS 模板创建了一个空白的 .NET7 Windows 窗体应用程序,并刚刚编译了版本 - 你瞧,它调用了 fp2e7a.wpc.phicdn.net。
经过一番挖掘,这些似乎通向 EdgeCast 的某个地方,并且在某种程度上与 Microsoft Visual Studio / 遥测服务有关联,但我仍然持怀疑态度。
对我来说只有两种解释:
a)我的编译器/系统遭到破坏,并将恶意调用注入到我构建的所有内容中
b)MS 将遥测(?)调用注入到我构建的所有内容中
显然 b) 将是我的首选,有人知道情况是否确实如此并可以确认吗?
fp2e7a.wpc.2be4.phicdn.netfp2e7a.wpc.phicdn.net每: https://github.com/hoshsadiq/adblock-nocoin-list/issues/452