Twitter在2009年4月11日這天終於成年了。和其他任何新的IT技術類似,出現一段時間之後,肯定有人決定進行深入研究,並找出搞破壞的方法。最後的妥協就像充滿喜劇色彩的故事,這一點非常類似Twitter本身。
StalkDaily/Mikeyy蠕蟲
Mike Mooney是一位剛入行的17歲年輕人。在發現Twitter應用程序中存在的跨站點腳本(XSS)漏洞後,他通過新發現的漏洞,成功修改了四個Twitter帳號的代碼。
只要修改完成,接着就只需要等待,就好像釣魚一樣。最終有人在查看自己帳戶的個人資料頁面時,通過神奇的不請自來式入侵大門,此人非常榮幸成爲第一個受害者。在蠕蟲通過下列方式廣泛傳播出去後,隨機出現了越來越多的受害者:
- 每個被感染的Twitter應用程序開始發送未經授權的Twitter信息(Tweets),其中包含了到所有被攻陷Twitter帳戶的聯繫人的惡意鏈接。
- 被標記的Twitter用戶開始收到來自貌似可信的聯繫人的消息(攻擊中的社會工程學部分)。
- 收到的消息要求用戶訪問一個名爲StalkDaily.com的微博客服務(也就是該蠕蟲名稱的由來)。
- 只要用戶點擊了這樣的鏈接,計算機中的Twitter應用程序就會被該蠕蟲感染。
毫無疑問,受害者的數量增長非常迅速。尤其是最初被感染的Twitter帳戶聯繫人列表中往往都有非常多的聯繫人。
更糟糕的是,就算沒有收到惡意信息的用戶,如果查看被攻陷的Twitter個人資料頁面,也有可能被感染。如果希望深入瞭解,可參考Damon Cortesi的博客文章,其中深入研究了該蠕蟲的工作方式。
不同的看法
上文提出的內容只是一般性看法,對於具體情況,目前至少有四種不同的說法,每一種都體現了不同的社會工程學技術。通過Twitter的努力,每次出現問題時他們已經可以成功解決,但底層的Twitter應用程序依然容易受到XSS攻擊的威脅。
如何解決問題
雖然Twitter的開發人員說已經解決了該問題,但目前依然存在被感染的個人資料頁面。於是我進行了一番調查,在Twittercism網站上找到了針對StalkDaily以及Mikeyynd變體的刪除方法:
- 在瀏覽器中,清空緩存,並清空所有Cookie(可在相應設置選項中找到)。
- 註銷目前使用的TweetDeck或其他任何外部應用程序。
- 對於懷疑可能包含惡意代碼的個人資料頁面,訪問對應的URL和內容(在Twitter.com網站進入Settings/Account頁面),判斷是否包含惡意代碼的方法很簡單,只需要看頁面上是否有不是您自己添加的內容。如果有,直接將其刪除。
- 在Twitter.com網站更改您的密碼。
- 重新登錄。
- 刪除由您發佈的,所有用於推薦StalkDaily的信息,這一點很重要。
- 用Tweet信息的方式將“@stalkdaily”報告給Twitter的@spam帳戶,格式如下:@spam @stalkdaily。
如何預防
Twittercism網站還提供了一篇非常好的文章,介紹了如何預防類似StalkDaily以及Mikeyy等蠕蟲病毒感染您Twitter個人資料的方法。現將其中比較重要的內容摘錄如下:
- 使用Twitter客戶端。目前來看,只有在訪問個人資料頁面時纔會被感染,而在使用Twitter網站的頁面時這樣做的頻率非常高。要避免無意中打開個人資料頁面,請使用Twitter客戶端,例如TweetDeck。
- 避免訪問Twitter.com的用戶個人資料頁面。這裏所說的包括Tweet消息中的宣傳鏈接,以及有關新關注者的電子郵件通知。
- 點擊縮短後URL時一定要小心。這個問題在我以前的博客文章“URL Shortening: Yet another security risk”中已經介紹過,目前來看,這種問題的嚴重性更大了。
防範這種蠕蟲病毒,以及其他任何惡意軟件的另一種有效方法是禁用JavaScript腳本。當然,這種方法對大部分人都是無法接受的,因此建議使用FireFox以及NoScript擴展組件。
下一步
因爲這次的問題主要是由於XSS漏洞所導致的,在此我想推薦最近華盛頓郵報上發表的,署名爲Brian Krebs的文章“Creating a Public Nuisance with Insecure Web Sites”,在文中作者介紹了一些有關XSS的內容,並暗示了一些非常糟糕的情況:
“XSS漏洞甚至可用於創建基於Web的蠕蟲。在過去的一週裏,有很多攻擊微博客網站Twitter.com的蠕蟲病毒就充分利用了XSS 漏洞,這些蠕蟲感染並威脅到數千名Twitter用戶。雖然這些蠕蟲基本上沒有什麼危害,不過反病毒軟件廠商已經發現有人開始利用搜索引擎的搜索結果,將好奇的搜索引擎用戶引入陷阱網站,並強制安裝無用,甚至惡意軟件的情況發生。”
Google搜索建議的危害
TrendLabs已經證實了Brian在自己的一封電子郵件通知中所提到的問題,這封郵件的內容如下:
“網絡犯罪開始大量利用公衆興趣以及媒體在重大事件方面的影響範圍來傳播惡意鏈接。在Google搜索“Twitter 蠕蟲”以及“Mikey”獲得的結果中,前十個搜索結果都列出了有關上述蠕蟲的17歲作者的名稱,但這些結果對應的鏈接都會將用戶帶入惡意網站,用戶的系統中會被下載惡意軟件。這些結果中的鏈接所指向的URL被發現屬於HTML_DLOADR.NIC,而在撰寫本文時,此類URL已經無法訪問,但分析結果顯示,這些鏈接會加載屬於JS_DLOADR.NIB的JavaScript代碼。”
最終考慮
貌似Twitter蠕蟲本身相對是比較溫和的,但不溫和的是使用網站兜售或隱瞞惡意的這種做法。不幸的是,實際上這種方法正在被廣泛濫用,並藉助電腦已經有問題的人傳播。我的文章“Minimize risk when downloading from the Internet”中包含有關該話題的很多討論,同時對於避免這種問題,有很多人提出了非常獨到的看法。
