Twitter在2009年4月11日这天终于成年了。和其他任何新的IT技术类似,出现一段时间之后,肯定有人决定进行深入研究,并找出搞破坏的方法。最后的妥协就像充满喜剧色彩的故事,这一点非常类似Twitter本身。
StalkDaily/Mikeyy蠕虫
Mike Mooney是一位刚入行的17岁年轻人。在发现Twitter应用程序中存在的跨站点脚本(XSS)漏洞后,他通过新发现的漏洞,成功修改了四个Twitter帐号的代码。
只要修改完成,接着就只需要等待,就好像钓鱼一样。最终有人在查看自己帐户的个人资料页面时,通过神奇的不请自来式入侵大门,此人非常荣幸成为第一个受害者。在蠕虫通过下列方式广泛传播出去后,随机出现了越来越多的受害者:
- 每个被感染的Twitter应用程序开始发送未经授权的Twitter信息(Tweets),其中包含了到所有被攻陷Twitter帐户的联系人的恶意链接。
- 被标记的Twitter用户开始收到来自貌似可信的联系人的消息(攻击中的社会工程学部分)。
- 收到的消息要求用户访问一个名为StalkDaily.com的微博客服务(也就是该蠕虫名称的由来)。
- 只要用户点击了这样的链接,计算机中的Twitter应用程序就会被该蠕虫感染。
毫无疑问,受害者的数量增长非常迅速。尤其是最初被感染的Twitter帐户联系人列表中往往都有非常多的联系人。
更糟糕的是,就算没有收到恶意信息的用户,如果查看被攻陷的Twitter个人资料页面,也有可能被感染。如果希望深入了解,可参考Damon Cortesi的博客文章,其中深入研究了该蠕虫的工作方式。
不同的看法
上文提出的内容只是一般性看法,对于具体情况,目前至少有四种不同的说法,每一种都体现了不同的社会工程学技术。通过Twitter的努力,每次出现问题时他们已经可以成功解决,但底层的Twitter应用程序依然容易受到XSS攻击的威胁。
如何解决问题
虽然Twitter的开发人员说已经解决了该问题,但目前依然存在被感染的个人资料页面。于是我进行了一番调查,在Twittercism网站上找到了针对StalkDaily以及Mikeyynd变体的删除方法:
- 在浏览器中,清空缓存,并清空所有Cookie(可在相应设置选项中找到)。
- 注销目前使用的TweetDeck或其他任何外部应用程序。
- 对于怀疑可能包含恶意代码的个人资料页面,访问对应的URL和内容(在Twitter.com网站进入Settings/Account页面),判断是否包含恶意代码的方法很简单,只需要看页面上是否有不是您自己添加的内容。如果有,直接将其删除。
- 在Twitter.com网站更改您的密码。
- 重新登录。
- 删除由您发布的,所有用于推荐StalkDaily的信息,这一点很重要。
- 用Tweet信息的方式将“@stalkdaily”报告给Twitter的@spam帐户,格式如下:@spam @stalkdaily。
如何预防
Twittercism网站还提供了一篇非常好的文章,介绍了如何预防类似StalkDaily以及Mikeyy等蠕虫病毒感染您Twitter个人资料的方法。现将其中比较重要的内容摘录如下:
- 使用Twitter客户端。目前来看,只有在访问个人资料页面时才会被感染,而在使用Twitter网站的页面时这样做的频率非常高。要避免无意中打开个人资料页面,请使用Twitter客户端,例如TweetDeck。
- 避免访问Twitter.com的用户个人资料页面。这里所说的包括Tweet消息中的宣传链接,以及有关新关注者的电子邮件通知。
- 点击缩短后URL时一定要小心。这个问题在我以前的博客文章“URL Shortening: Yet another security risk”中已经介绍过,目前来看,这种问题的严重性更大了。
防范这种蠕虫病毒,以及其他任何恶意软件的另一种有效方法是禁用JavaScript脚本。当然,这种方法对大部分人都是无法接受的,因此建议使用FireFox以及NoScript扩展组件。
下一步
因为这次的问题主要是由于XSS漏洞所导致的,在此我想推荐最近华盛顿邮报上发表的,署名为Brian Krebs的文章“Creating a Public Nuisance with Insecure Web Sites”,在文中作者介绍了一些有关XSS的内容,并暗示了一些非常糟糕的情况:
“XSS漏洞甚至可用于创建基于Web的蠕虫。在过去的一周里,有很多攻击微博客网站Twitter.com的蠕虫病毒就充分利用了XSS 漏洞,这些蠕虫感染并威胁到数千名Twitter用户。虽然这些蠕虫基本上没有什么危害,不过反病毒软件厂商已经发现有人开始利用搜索引擎的搜索结果,将好奇的搜索引擎用户引入陷阱网站,并强制安装无用,甚至恶意软件的情况发生。”
Google搜索建议的危害
TrendLabs已经证实了Brian在自己的一封电子邮件通知中所提到的问题,这封邮件的内容如下:
“网络犯罪开始大量利用公众兴趣以及媒体在重大事件方面的影响范围来传播恶意链接。在Google搜索“Twitter 蠕虫”以及“Mikey”获得的结果中,前十个搜索结果都列出了有关上述蠕虫的17岁作者的名称,但这些结果对应的链接都会将用户带入恶意网站,用户的系统中会被下载恶意软件。这些结果中的链接所指向的URL被发现属于HTML_DLOADR.NIC,而在撰写本文时,此类URL已经无法访问,但分析结果显示,这些链接会加载属于JS_DLOADR.NIB的JavaScript代码。”
最终考虑
貌似Twitter蠕虫本身相对是比较温和的,但不温和的是使用网站兜售或隐瞒恶意的这种做法。不幸的是,实际上这种方法正在被广泛滥用,并借助电脑已经有问题的人传播。我的文章“Minimize risk when downloading from the Internet”中包含有关该话题的很多讨论,同时对于避免这种问题,有很多人提出了非常独到的看法。
1594
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
