在近期Linux Mint被攻擊事件發(fā)生之前，很少有人能意識到，自己剛剛安裝操作系統(tǒng)的PC，可能就已經淪為黑客的“肉雞”。而且大多數人也無法想象，這只”肉雞“的來源，是Linux官網上完全符合Hash值驗證的操作系統(tǒng)鏡像文件。事實上，這類針對基礎類軟件的攻擊在近年來正在不斷增多，影響了越來越多的個人及企業(yè)用戶。百度安全旗下的百度安全實驗室(X-lab)專家xi4oyu在分析此類事件后做出評論：針對基礎類軟件的攻擊正在成為黑客最青睞的攻擊方式之一，因為其更隱蔽、也更有效率。

[[163196]]

黑客的新寵

網絡攻防從來不是一場公平的對抗，在大多數情況下，黑客都握有發(fā)動攻擊的主動權，任何可供利用的漏洞都是黑客尋找的目標。在Linux Mint被攻擊事件中，黑客發(fā)現了發(fā)現Linux網站上的漏洞，繼而操控了Linux Mint下載頁面，并將下載鏈接指向了一個惡意FTP(文件傳輸協(xié)議)服務器。之后，黑客將原有的Linux ISO替換為修改的ISO(含有網絡中繼聊天后門Tsunami)，還改變了驗證文件完整性的Hash值，讓用戶誤以為這是正確的版本。

Linux Mint絕非第一個基礎類軟件被攻擊的實例，在前一段事件，安全研究人員就爆出App store 超千個應用程序出現漏洞，事件的起因是一款幫助開發(fā)者部署補丁、更新代碼的軟件“JSPatch”出現漏洞，黑客利用了這個漏洞感染了超過千款應用程序，通過后門訪問用戶iOS設備中的圖片、短信、通話記錄等隱私信息。此外，去年xcode的安裝文件被篡改等事件也證明，基礎類軟件正在成為黑客的新寵。

一般來說，基礎類軟件通常是網絡攻擊的跳板，而非最后的目標。黑客的最終目的是通過感染基礎類軟件來操縱用戶系統(tǒng)，竊取系統(tǒng)中的隱私信息或“綁架“用戶用于發(fā)動其他的網絡攻擊。在Linux Mint被攻擊事件中，黑客就通過后門程序Tsunami的植入取得了用戶隱私數據，并在地下黑色市場中進行出售。

為什么基礎類軟件會成為黑客的目標?

基礎類軟件被攻擊的事件一旦發(fā)生往往會造成嚴重的后果，探尋黑客的攻擊動機有助于我們更好的來防范此類攻擊。

百度安全實驗室(X-lab)專家xi4oyu分析稱：“基礎類軟件被黑客青睞的一個重要原因在于，它是一個效率非常高的攻擊跳板?；A類軟件的使用人數往往較多，某些基礎類軟件如基礎庫、開發(fā)語言、開發(fā)組件是維持系統(tǒng)及業(yè)務運轉的基石，對它們的攻擊能夠造成巨大的鏈式傷害。對于某一個基礎類軟件的后門植入，潛在影響的用戶/服務器/應用可能成千上萬計!”

基礎類軟件獲得黑客青睞的另外一個重要原因在于，對基礎類軟件的篡改有很大概率逃脫防毒軟件的查殺。特別在安裝被篡改的操作系統(tǒng)鏡像時，惡意程序的植入肯定優(yōu)先于殺毒軟件的安裝，這使得發(fā)現的難度大大增加。在“JSPatch”被攻擊的事件中，App store自身的安全驗證機制也沒有發(fā)現應用程序底層所存在的惡意程序。此外，很少有用戶會關注基礎類軟件安全問題，也不會對下載的系統(tǒng)文件本身進行嚴格的安全檢查，這讓黑客更容易找到可乘之機。

主動化解風險，而不是坐以待斃

在發(fā)現了黑客的動機之后，用戶應該如何提高對此類攻擊的防范能力呢?百度安全實驗室(X-lab)建議用戶遵循以下幾點建議：

1、從可信的渠道下載操作系統(tǒng)安裝鏡像、基礎運行庫等基礎類軟件，并對下載回來的文件進行完整性/簽名校驗。當然，在此次事情當中，官方渠道被篡改導致網站提供的用于校驗的checksum不可信，這就對服務提供商自身的安全提出了較高的要求。比較穩(wěn)妥的方式是采取多種校驗方式，并保護好簽名服務器。

2、時刻關注最新的安全預警信息，如果發(fā)現下載的軟件有被感染的風險，立刻采取斷網、重新安裝操作系統(tǒng)、更改敏感賬號的密碼等應對措施。

3、加強對于基礎類軟件風險的認知，提高自身安全意識，企業(yè)用戶應該加強對員工的安全教育，不要隨意安裝來源不明的基礎類軟件。