近日,Linux Mint网站遭遇黑客袭击,一个叫“Peace”的黑客组织,入侵了Linux Mint的官网,修改下载链接,替换为一个植入后门的修改版Linux Mint ISO文件,也就是一个”黑客版“的Linux操作系统,用户一旦安装,也就在不知不觉中成为黑客僵尸网络的一员。
近日,Linux Mint网站遭遇黑客袭击,一个叫“Peace”的黑客组织,入侵了Linux Mint的官网,修改下载链接,替换为一个植入后门的修改版Linux Mint ISO文件,也就是一个”黑客版“的Linux操作系统,用户一旦安装,也就在不知不觉中成为黑客僵尸网络的一员。此消息迅速传遍了各个开源社区,在国内,百度安全发布相关预警后,也在网络上引起了文件完整性检测,以及僵尸网络防御的讨论。
百度安全第一时间发出预警
在此次攻击事件的第一时间里,百度安全旗下的百度云安全联合百度安全实验室(X-lab)的安全专家,向互联网用户发出安全预警。与此同时,百度安全还对攻击事件进行了全面跟踪,并建议(北京时间)2月19~21日期间下载过Linux Mint 17.3 Cinnamon版本的用户都要进行安全检查。
百度安全实验室(X-lab)建议用户,一旦确认下载到具有恶意程序的ISO文件,倘若已经刻录在DVD光盘或存储在USB设备内都不应再次使用,用户还应该终止网络链接并备份个人资料,格式化或重新安装操作系统。
最有一点尤为重要,受感染的用户资料已经在地下黑市中出现,别有用途的人只要花上0.197个比特币或者是85美元,就可以购买全部用户信息。因此,用户还应及时更改电子邮件和敏感网站的密码。
“完整性检测”未能形成屏障
从攻击特点上,黑客只是替换了官方网站的链接地址,但黑客行动的细节却让许多颇具安全意识的用户也难逃一劫。为何这样说呢?
百度安全实验室(X-lab)安全专家xi4oyu表示:“为了避免下载到感染了恶意软件的文件,有经验的用户往往会利用Hash来检测验证文件的完整性,尤其是下载敏感文件(比如操作系统映像文件)之后。但是这次黑客的攻击行动也考虑到这一点,黑客将下载页面上官方用于验证文件完整性的Hash值,替换成了后门程序的Hash值,欺骗了有经验的用户。”
随着网络安全形势的日趋严峻,很多软件作者在发布软件的时候都会公布软件的MD5值,用户下载软件后可以通过MD5值校检工具进行验证,以避免下载到经过恶意篡改的软件。另外,用户文件系统中所包含的操作系统基本文件越多,尤其是包含的可执行的系统工具越多,就越有必要通过文件系统完整性审核工具进行保护。但是,替换Linux Mint ISO的黑客却非常聪明,将“完整性检测”的对象值也进行了替换,使得这一屏障形同虚设,这次攻击在揭示黑客手段不断提升的同时,也为个人和企业用户的网络安全再次敲响了警钟。
天下还有多少个僵尸网络
值得注意的是,黑客在镜像文件中安装木马程序的事件并非首次出现。与Linux Mint ISO安插“海啸(Tsunami)”的目的一致,深受“苏拉克”木马残害的用户也非常多。
“苏拉克”是2015下半年来持续爆发的木马,该木马感染了大量的计算机,其主要传播方式是直接在Ghost镜像中植入木马,然后将Ghost镜像上传到大量网站提供给用户下载,最终形成的大规模的僵尸网络。
僵尸网络是由感染了恶意软件构成的计算机集群,黑客不仅可以通过远程发送控制指令用于ddos攻击,也可以用于窃取信用卡号和银行凭证等敏感信息。一般情况下,被僵尸网络控制的终端经常伪装运转正常,只有攻击发生时才会有有所不同,这让用户难以防查。
针对镜像文件藏木马,以及僵尸网络的防御,百度安全实验室(X-lab)安全专家xi4oyu表示:“选择正规渠道或是官方网站下载并校验文件完整性的做法是十分必要的。当然,在此次事情当中,官方渠道被篡改导致网站提供的用于校验的checksum不可信,这就对服务提供商自身的安全提出了较高的要求,使用签名而不仅仅是checksum的方式,并保护好签名服务器是个重点。”