近日,Linux Mint網站遭遇黑客襲擊,一個叫“Peace”的黑客組織,入侵了Linux Mint 的官網,修改下載鏈接,替換為一個植入后門的修改版Linux Mint ISO文件,也就是一個”黑客版“的Linux操作系統(tǒng),用戶一旦安裝,也就在不知不覺中成為黑客僵尸網絡的一員。此消息迅速傳遍了各個開源社區(qū),在國內,百度安全發(fā)布相關預警后,也在網絡上引起了文件完整性檢測,以及僵尸網絡防御的討論。
百度安全第一時間發(fā)出預警
在此次攻擊事件的第一時間里,百度安全旗下的百度云安全聯合百度安全實驗室(X-lab)的安全專家,向互聯網用戶發(fā)出安全預警。與此同時,百度安全還對攻擊事件進行了全面跟蹤,并建議(北京時間)2月19~21日期間下載過Linux Mint 17.3 Cinnamon版本的用戶都要進行安全檢查。
百度安全實驗室(X-lab)建議用戶,一旦確認下載到具有惡意程序的ISO文件,倘若已經刻錄在DVD光盤或存儲在USB設備內都不應再次使用,用戶還應該終止網絡鏈接并備份個人資料,格式化或重新安裝操作系統(tǒng)。
最有一點尤為重要,受感染的用戶資料已經在地下黑市中出現,別有用途的人只要花上0.197個比特幣或者是85美元,就可以購買全部用戶信息。因此,用戶還應及時更改電子郵件和敏感網站的密碼。
“完整性檢測”未能形成屏障
從攻擊特點上,黑客只是替換了官方網站的鏈接地址,但黑客行動的細節(jié)卻讓許多頗具安全意識的用戶也難逃一劫。為何這樣說呢?
百度安全實驗室(X-lab)安全專家xi4oyu表示:“為了避免下載到感染了惡意軟件的文件,有經驗的用戶往往會利用Hash來檢測驗證文件的完整性,尤其是下載敏感文件(比如操作系統(tǒng)映像文件)之后。但是這次黑客的攻擊行動也考慮到這一點,黑客將下載頁面上官方用于驗證文件完整性的Hash值,替換成了后門程序的 Hash 值,欺騙了有經驗的用戶。”
隨著網絡安全形勢的日趨嚴峻,很多軟件作者在發(fā)布軟件的時候都會公布軟件的MD5值,用戶下載軟件后可以通過MD5值校檢工具進行驗證,以避免下載到經過惡意篡改的軟件。另外,用戶文件系統(tǒng)中所包含的操作系統(tǒng)基本文件越多,尤其是包含的可執(zhí)行的系統(tǒng)工具越多,就越有必要通過文件系統(tǒng)完整性審核工具進行保護。但是,替換Linux Mint ISO的黑客卻非常聰明,將“完整性檢測”的對象值也進行了替換,使得這一屏障形同虛設,這次攻擊在揭示黑客手段不斷提升的同時,也為個人和企業(yè)用戶的網絡安全再次敲響了警鐘。
天下還有多少個僵尸網絡
值得注意的是,黑客在鏡像文件中安裝木馬程序的事件并非首次出現。與Linux Mint ISO安插“海嘯(Tsunami)”的目的一致,深受“蘇拉克”木馬殘害的用戶也非常多。
“蘇拉克”是2015下半年來持續(xù)爆發(fā)的木馬,該木馬感染了大量的計算機,其主要傳播方式是直接在Ghost鏡像中植入木馬,然后將Ghost鏡像上傳到大量網站提供給用戶下載,最終形成的大規(guī)模的僵尸網絡。
僵尸網絡是由感染了惡意軟件構成的計算機集群,黑客不僅可以通過遠程發(fā)送控制指令用于ddos攻擊,也可以用于竊取信用卡號和銀行憑證等敏感信息。一般情況下,被僵尸網絡控制的終端經常偽裝運轉正常,只有攻擊發(fā)生時才會有有所不同,這讓用戶難以防查。
針對鏡像文件藏木馬,以及僵尸網絡的防御,百度安全實驗室(X-lab)安全專家xi4oyu表示:“選擇正規(guī)渠道或是官方網站下載并校驗文件完整性的做法是十分必要的。當然,在此次事情當中,官方渠道被篡改導致網站提供的用于校驗的checksum不可信,這就對服務提供商自身的安全提出了較高的要求,使用簽名而不僅僅是checksum的方式,并保護好簽名服務器是個重點。”