近日，Linux Mint網(wǎng)站遭遇黑客襲擊，一個(gè)叫“Peace”的黑客組織，入侵了Linux Mint的官網(wǎng)，修改下載鏈接，替換為一個(gè)植入后門的修改版Linux Mint ISO文件，也就是一個(gè)”黑客版“的Linux操作系統(tǒng)，用戶一旦安裝，也就在不知不覺中成為黑客僵尸網(wǎng)絡(luò)的一員。

近日，Linux Mint網(wǎng)站遭遇黑客襲擊，一個(gè)叫“Peace”的黑客組織，入侵了Linux Mint的官網(wǎng)，修改下載鏈接，替換為一個(gè)植入后門的修改版Linux Mint ISO文件，也就是一個(gè)”黑客版“的Linux操作系統(tǒng)，用戶一旦安裝，也就在不知不覺中成為黑客僵尸網(wǎng)絡(luò)的一員。此消息迅速傳遍了各個(gè)開源社區(qū)，在國(guó)內(nèi)，百度安全發(fā)布相關(guān)預(yù)警后，也在網(wǎng)絡(luò)上引起了文件完整性檢測(cè)，以及僵尸網(wǎng)絡(luò)防御的討論。

百度安全第一時(shí)間發(fā)出預(yù)警

在此次攻擊事件的第一時(shí)間里，百度安全旗下的百度云安全聯(lián)合百度安全實(shí)驗(yàn)室(X-lab)的安全專家，向互聯(lián)網(wǎng)用戶發(fā)出安全預(yù)警。與此同時(shí)，百度安全還對(duì)攻擊事件進(jìn)行了全面跟蹤，并建議(北京時(shí)間)2月19~21日期間下載過Linux Mint 17.3 Cinnamon版本的用戶都要進(jìn)行安全檢查。

百度安全實(shí)驗(yàn)室(X-lab)建議用戶，一旦確認(rèn)下載到具有惡意程序的ISO文件，倘若已經(jīng)刻錄在DVD光盤或存儲(chǔ)在USB設(shè)備內(nèi)都不應(yīng)再次使用，用戶還應(yīng)該終止網(wǎng)絡(luò)鏈接并備份個(gè)人資料，格式化或重新安裝操作系統(tǒng)。

最有一點(diǎn)尤為重要，受感染的用戶資料已經(jīng)在地下黑市中出現(xiàn)，別有用途的人只要花上0.197個(gè)比特幣或者是85美元，就可以購買全部用戶信息。因此，用戶還應(yīng)及時(shí)更改電子郵件和敏感網(wǎng)站的密碼。

“完整性檢測(cè)”未能形成屏障

從攻擊特點(diǎn)上，黑客只是替換了官方網(wǎng)站的鏈接地址，但黑客行動(dòng)的細(xì)節(jié)卻讓許多頗具安全意識(shí)的用戶也難逃一劫。為何這樣說呢?

百度安全實(shí)驗(yàn)室(X-lab)安全專家xi4oyu表示：“為了避免下載到感染了惡意軟件的文件，有經(jīng)驗(yàn)的用戶往往會(huì)利用Hash來檢測(cè)驗(yàn)證文件的完整性，尤其是下載敏感文件(比如操作系統(tǒng)映像文件)之后。但是這次黑客的攻擊行動(dòng)也考慮到這一點(diǎn)，黑客將下載頁面上官方用于驗(yàn)證文件完整性的Hash值，替換成了后門程序的Hash值，欺騙了有經(jīng)驗(yàn)的用戶。”

隨著網(wǎng)絡(luò)安全形勢(shì)的日趨嚴(yán)峻，很多軟件作者在發(fā)布軟件的時(shí)候都會(huì)公布軟件的MD5值，用戶下載軟件后可以通過MD5值校檢工具進(jìn)行驗(yàn)證，以避免下載到經(jīng)過惡意篡改的軟件。另外，用戶文件系統(tǒng)中所包含的操作系統(tǒng)基本文件越多，尤其是包含的可執(zhí)行的系統(tǒng)工具越多，就越有必要通過文件系統(tǒng)完整性審核工具進(jìn)行保護(hù)。但是，替換Linux Mint ISO的黑客卻非常聰明，將“完整性檢測(cè)”的對(duì)象值也進(jìn)行了替換，使得這一屏障形同虛設(shè)，這次攻擊在揭示黑客手段不斷提升的同時(shí)，也為個(gè)人和企業(yè)用戶的網(wǎng)絡(luò)安全再次敲響了警鐘。

天下還有多少個(gè)僵尸網(wǎng)絡(luò)

值得注意的是，黑客在鏡像文件中安裝木馬程序的事件并非首次出現(xiàn)。與Linux Mint ISO安插“海嘯(Tsunami)”的目的一致，深受“蘇拉克”木馬殘害的用戶也非常多。

“蘇拉克”是2015下半年來持續(xù)爆發(fā)的木馬，該木馬感染了大量的計(jì)算機(jī)，其主要傳播方式是直接在Ghost鏡像中植入木馬，然后將Ghost鏡像上傳到大量網(wǎng)站提供給用戶下載，最終形成的大規(guī)模的僵尸網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)是由感染了惡意軟件構(gòu)成的計(jì)算機(jī)集群，黑客不僅可以通過遠(yuǎn)程發(fā)送控制指令用于ddos攻擊，也可以用于竊取信用卡號(hào)和銀行憑證等敏感信息。一般情況下，被僵尸網(wǎng)絡(luò)控制的終端經(jīng)常偽裝運(yùn)轉(zhuǎn)正常，只有攻擊發(fā)生時(shí)才會(huì)有有所不同，這讓用戶難以防查。

針對(duì)鏡像文件藏木馬，以及僵尸網(wǎng)絡(luò)的防御，百度安全實(shí)驗(yàn)室(X-lab)安全專家xi4oyu表示：“選擇正規(guī)渠道或是官方網(wǎng)站下載并校驗(yàn)文件完整性的做法是十分必要的。當(dāng)然，在此次事情當(dāng)中，官方渠道被篡改導(dǎo)致網(wǎng)站提供的用于校驗(yàn)的checksum不可信，這就對(duì)服務(wù)提供商自身的安全提出了較高的要求，使用簽名而不僅僅是checksum的方式，并保護(hù)好簽名服務(wù)器是個(gè)重點(diǎn)。”