在近期Linux Mint被攻击事件发生之前,很少有人能意识到,自己刚刚安装操作系统的PC,可能就已经沦为黑客的“肉鸡”。而且大多数人也无法想象,这只”肉鸡“的来源,是Linux官网上完全符合Hash值验证的操作系统镜像文件。事实上,这类针对基础类软件的攻击在近年来正在不断增多,影响了越来越多的个人及企业用户。百度安全旗下的百度安全实验室(X-lab)专家xi4oyu在分析此类事件后做出评论:针对基础类软件的攻击正在成为黑客最青睐的攻击方式之一,因为其更隐蔽、也更有效率。
黑客的新宠
网络攻防从来不是一场公平的对抗,在大多数情况下,黑客都握有发动攻击的主动权,任何可供利用的漏洞都是黑客寻找的目标。在Linux Mint被攻击事件中,黑客发现了发现Linux网站上的漏洞,继而操控了Linux Mint下载页面,并将下载链接指向了一个恶意FTP(文件传输协议)服务器。之后,黑客将原有的Linux ISO替换为修改的ISO(含有网络中继聊天后门Tsunami),还改变了验证文件完整性的Hash值,让用户误以为这是正确的版本。
Linux Mint绝非第一个基础类软件被攻击的实例,在前一段事件,安全研究人员就爆出App store 超千个应用程序出现漏洞,事件的起因是一款帮助开发者部署补丁、更新代码的软件“JSPatch”出现漏洞,黑客利用了这个漏洞感染了超过千款应用程序,通过后门访问用户iOS设备中的图片、短信、通话记录等隐私信息。此外,去年xcode的安装文件被篡改等事件也证明,基础类软件正在成为黑客的新宠。
一般来说,基础类软件通常是网络攻击的跳板,而非最后的目标。黑客的最终目的是通过感染基础类软件来操纵用户系统,窃取系统中的隐私信息或“绑架“用户用于发动其他的网络攻击。在Linux Mint被攻击事件中,黑客就通过后门程序Tsunami的植入取得了用户隐私数据,并在地下黑色市场中进行出售。
为什么基础类软件会成为黑客的目标?
基础类软件被攻击的事件一旦发生往往会造成严重的后果,探寻黑客的攻击动机有助于我们更好的来防范此类攻击。
百度安全实验室(X-lab)专家xi4oyu分析称:“基础类软件被黑客青睐的一个重要原因在于,它是一个效率非常高的攻击跳板。基础类软件的使用人数往往较多,某些基础类软件如基础库、开发语言、开发组件是维持系统及业务运转的基石,对它们的攻击能够造成巨大的链式伤害。对于某一个基础类软件的后门植入,潜在影响的用户/服务器/应用可能成千上万计!”
基础类软件获得黑客青睐的另外一个重要原因在于,对基础类软件的篡改有很大概率逃脱防毒软件的查杀。特别在安装被篡改的操作系统镜像时,恶意程序的植入肯定优先于杀毒软件的安装,这使得发现的难度大大增加。在“JSPatch”被攻击的事件中,App store自身的安全验证机制也没有发现应用程序底层所存在的恶意程序。此外,很少有用户会关注基础类软件安全问题,也不会对下载的系统文件本身进行严格的安全检查,这让黑客更容易找到可乘之机。
主动化解风险,而不是坐以待毙
在发现了黑客的动机之后,用户应该如何提高对此类攻击的防范能力呢?百度安全实验室(X-lab)建议用户遵循以下几点建议:
1、从可信的渠道下载操作系统安装镜像、基础运行库等基础类软件,并对下载回来的文件进行完整性/签名校验。当然,在此次事情当中,官方渠道被篡改导致网站提供的用于校验的checksum不可信,这就对服务提供商自身的安全提出了较高的要求。比较稳妥的方式是采取多种校验方式,并保护好签名服务器。
2、时刻关注最新的安全预警信息,如果发现下载的软件有被感染的风险,立刻采取断网、重新安装操作系统、更改敏感账号的密码等应对措施。
3、加强对于基础类软件风险的认知,提高自身安全意识,企业用户应该加强对员工的安全教育,不要随意安装来源不明的基础类软件。