近日，Linux Mint網站遭遇黑客襲擊，一個叫“Peace”的黑客組織，入侵了Linux Mint 的官網，修改下載鏈接，替換為一個植入后門的修改版Linux Mint ISO文件，也就是一個”黑客版“的Linux操作系統，用戶一旦安裝，也就在不知不覺中成為黑客僵尸網絡的一員。此消息迅速傳遍了各個開源社區，在國內，百度安全發布相關預警后，也在網絡上引起了文件完整性檢測，以及僵尸網絡防御的討論。

百度安全第一時間發出預警

在此次攻擊事件的第一時間里，百度安全旗下的百度云安全聯合百度安全實驗室（X-lab）的安全專家，向互聯網用戶發出安全預警。與此同時，百度安全還對攻擊事件進行了全面跟蹤，并建議（北京時間）2月19~21日期間下載過Linux Mint 17.3 Cinnamon版本的用戶都要進行安全檢查。

百度安全實驗室（X-lab）建議用戶，一旦確認下載到具有惡意程序的ISO文件，倘若已經刻錄在DVD光盤或存儲在USB設備內都不應再次使用，用戶還應該終止網絡鏈接并備份個人資料，格式化或重新安裝操作系統。

最有一點尤為重要，受感染的用戶資料已經在地下黑市中出現，別有用途的人只要花上0.197個比特幣或者是85美元，就可以購買全部用戶信息。因此，用戶還應及時更改電子郵件和敏感網站的密碼。

“完整性檢測”未能形成屏障

從攻擊特點上，黑客只是替換了官方網站的鏈接地址，但黑客行動的細節卻讓許多頗具安全意識的用戶也難逃一劫。為何這樣說呢？

百度安全實驗室（X-lab）安全專家xi4oyu表示：“為了避免下載到感染了惡意軟件的文件，有經驗的用戶往往會利用Hash來檢測驗證文件的完整性，尤其是下載敏感文件（比如操作系統映像文件)之后。但是這次黑客的攻擊行動也考慮到這一點，黑客將下載頁面上官方用于驗證文件完整性的Hash值，替換成了后門程序的 Hash 值，欺騙了有經驗的用戶。”

隨著網絡安全形勢的日趨嚴峻，很多軟件作者在發布軟件的時候都會公布軟件的MD5值，用戶下載軟件后可以通過MD5值校檢工具進行驗證，以避免下載到經過惡意篡改的軟件。另外，用戶文件系統中所包含的操作系統基本文件越多，尤其是包含的可執行的系統工具越多，就越有必要通過文件系統完整性審核工具進行保護。但是，替換Linux Mint ISO的黑客卻非常聰明，將“完整性檢測”的對象值也進行了替換，使得這一屏障形同虛設，這次攻擊在揭示黑客手段不斷提升的同時，也為個人和企業用戶的網絡安全再次敲響了警鐘。

天下還有多少個僵尸網絡

值得注意的是，黑客在鏡像文件中安裝木馬程序的事件并非首次出現。與Linux Mint ISO安插“海嘯（Tsunami）”的目的一致，深受“蘇拉克”木馬殘害的用戶也非常多。

“蘇拉克”是2015下半年來持續爆發的木馬，該木馬感染了大量的計算機，其主要傳播方式是直接在Ghost鏡像中植入木馬，然后將Ghost鏡像上傳到大量網站提供給用戶下載，最終形成的大規模的僵尸網絡。

僵尸網絡是由感染了惡意軟件構成的計算機集群，黑客不僅可以通過遠程發送控制指令用于ddos攻擊，也可以用于竊取信用卡號和銀行憑證等敏感信息。一般情況下，被僵尸網絡控制的終端經常偽裝運轉正常，只有攻擊發生時才會有有所不同，這讓用戶難以防查。

針對鏡像文件藏木馬，以及僵尸網絡的防御，百度安全實驗室（X-lab）安全專家xi4oyu表示：“選擇正規渠道或是官方網站下載并校驗文件完整性的做法是十分必要的。當然，在此次事情當中，官方渠道被篡改導致網站提供的用于校驗的checksum不可信，這就對服務提供商自身的安全提出了較高的要求，使用簽名而不僅僅是checksum的方式，并保護好簽名服務器是個重點。”