吐槽一下微软最近的上报系统

ANY.LNK

微软最近入库速度拖沓的很厉害，4月25号往后的样本在鉴定得出结果后至今未入库（In progress）状态，这种缓慢的入库速度或许就是AV-C上微软测试结果表现不佳的原因吧。

还有……这个帖子中的样本微软在VT上有近40个安全软件报毒（且确认为威胁）的情况下仍力排众议、独树一帜地坚定认为是Not malware……真的，气死我了（上次见微软这么固执还是论坛里异鬼7的其中一个样本，上报了可能得有1年多才改结果为Threat related）


并且，最近总结出一个经验，微软对于不少样本似乎就没在认真鉴定，更像是从其他安全软件那里的结果判断文件是否是恶意的、是否需要入库，个人观察了下，应该是以ESET、卡巴这两家权重最重。如果想让微软修改对这些样本最终的鉴定结果，大概满足下列条件。
1.企业用户上报
2.ESET和卡巴全部认为文件是恶意的或其中之一认为是恶意且VT上有多于15个其他安全软件报毒（表现是这样，不过不排除其它的途径），比如说这个样本，在不到一天的时间内两次更改结果


这样的操作在之前论坛里的样本还发生过多次，相关示例可以在论坛样本区翻到，在此不一一列举

微软对于网络保护（Network Protection）这方面的上报鉴定也不是很好，其一表现在SmartScreen上报和拦截方面表现较许多主流安全软件的拦截率仍有差距，一些上报之后不加处理的现象严重，尤其是对于中文网络的QQ钓鱼页面，上报了也没多大回信。

另一个Network protection上报页面，竟然是和ASR规则放在一起的，并且只有付过费的企业用户才可以上报，它们居然是同一个级别。在我的印象里，网络保护应该是安全软件的最基础功能的，上报却整这么复杂。←当然，也不排除是我自己认知太过狭小的原因（此外，这个功能在微软Defender这里居然是默认关闭的，开启方式也很复杂，开启后测试时对拦截效果也较低）

↑
微软相较于其他厂商在这个方面的保守简直出人意料，我在这个页面上报了多个网址一直都是Retained、Retained、Retained不予入库，理由也是千奇百怪，诸如找不到危害性行为（在其他上报的厂商哪里都确认存在有害行为）、请转至SmartScreen上报页面上报（废话、要是那里上报有效还至于来找你吗？）、请确保网站内只有恶意软件（？？？，存在恶意软件的网站混些白文件就不能拦截了吗？）等等

综上，我有理由怀疑：微软安全部门内部可能出了些问题。技术上看微软发的报告水平并不低，工具也算得上先进。因此怀疑分析人员态度上想偷懒或者大都跑去做机器学习人工智能恶意软件鉴定技术了，剩下的分析人员不够多无法及时处理上报的任务或者使用或过度依赖于自动机辅助分析人员（之前微软也提到过自己使用人工智能技术辅助鉴定，而<恶意的>文件传播的越广可疑程度就越高←微软安全ML模型最终极——大数据，也可能导致技术人员依赖）

下面这条可能是我蠢笨了
↓
微软在ASR规则里添加了拦截易受漏洞攻击的驱动的加载一项，于是当有新的漏洞驱动出现时、我也走ASR的路径上报。结果ASR上报页面里面没有这一项规则，我就只能随便选个规则上报，结果也总是失败的，微软在这里回我最多的一句是“请提供支持文件”。后来某天在一个偶然情况下发现了这个页面……原来微软专门开发了上报漏洞驱动的页面，之前一直ASR上报不知道选哪个规则或怎么填描述的我顿时泪奔……究竟是微软弄得太隐蔽，还是我获取能力太差了啊……

anthonyqian

美系杀软的病毒分析中心很多在印度… 感觉微软的也在 而且占全球分析中心很大一部分
杀软分析翻车最近有点常见，比如这个我发的远程访问木马https://bbs.kafan.cn/thread-2233043-1-1.html，一开始提交卡巴斯基 BD都都说干净，二次分析才确定为恶意，ESET甚至现在都还不报，也是离谱的

maomao110

不报就不报呗   管那么多干嘛  

LSPD

会不会是传上去云直接判黑的样本不会受到人工回复呢
我这边只有上报的3个PUA样本收到了人工回复
微软这样感觉更像是态度问题而不是技术问题，说实话感觉不像是一个认真做安全的公司（误

ANY.LNK

LSPD 发表于 2022-5-1 11:27
会不会是传上去云直接判黑的样本不会受到人工回复呢
我这边只有上报的3个PUA样本收到了人工回复[:1 ...

并不是，机器判黑并不会怎么影响人工分析的回复（但会影响到人工的判决结果）。走个人通道的恶意样本上报一般不会收到回复
企业用户会有回复的，但是就上报的结果来看，一般第一遍上报已由机器分析出结果的会采用机器的结果，但第二遍上报人工会重新分析。
说到PUA的上报，我之前上报时发现PUA的上报是不管Malware的，提交的样本中如果包含Malware如果不是PUA会直接判白，这就离谱！

hez2010

感觉微软在处理上报方面基本靠机器学习，几乎没有人工干预。除非是企业大客户或者遇到了同一样本的大量上报或安全事件。

ANY.LNK

hez2010 发表于 2022-5-1 15:15
感觉微软在处理上报方面基本靠机器学习，几乎没有人工干预。除非是企业大客户或者遇到了同一样本的大量上报 ...

似乎的确像这样

喀反

这会影响Microsoft Defender的行为防护能力不

ANY.LNK

喀反 发表于 2022-5-2 23:09
这会影响Microsoft Defender的行为防护能力不

不知道，但如果微软想摆烂，谁也拦不住

喀反

ANY.LNK 发表于 2022-5-3 03:15
不知道，但如果微软想摆烂，谁也拦不住

摆烂应该不至于，可能是忙着优化WIN11去了