在近期Linux Mint被攻击事件发生之前，很少有人能意识到，自己刚刚安装操作系统的PC，可能就已经沦为黑客的“肉鸡”。而且大多数人也无法想象，这只”肉鸡“的来源，是Linux官网上完全符合Hash值验证的操作系统镜像文件。事实上，这类针对基础类软件的攻击在近年来正在不断增多，影响了越来越多的个人及企业用户。

黑客的新宠

网络攻防从来不是一场公平的对抗，在大多数情况下，黑客都握有发动攻击的主动权，任何可供利用的漏洞都是黑客寻找的目标。在Linux Mint被攻击事件中，黑客发现了Linux网站上的漏洞，继而操控了Linux Mint下载页面，并将下载链接指向了一个恶意FTP（文件传输协议）服务器。之后，黑客将原有的Linux ISO替换为修改的ISO（含有网络中继聊天后门Tsunami），还改变了验证文件完整性的Hash值，让用户误以为这是正确的版本。

Linux Mint绝非第一个基础类软件被攻击的实例，在前一段时间，安全研究人员就爆出App store超千个应用程序出现漏洞，事件的起因是一款帮助开发者部署补丁、更新代码的软件“JSPatch”出现漏洞，黑客利用了这个漏洞感染了超过千款应用程序，通过后门访问用户iOS设备中的图片、短信、通话记录等隐私信息。此外，去年xcode的安装文件被篡改等事件也证明，基础类软件正在成为黑客的新宠。

一般来说，基础类软件通常是网络攻击的跳板，而非最后的目标。黑客的最终目的是通过感染基础类软件来操纵用户系统，窃取系统中的隐私信息或“绑架“用户用于发动其他的网络攻击。在Linux Mint被攻击事件中，黑客就通过后门程序Tsunami的植入取得了用户隐私数据，并在地下黑色市场中进行出售。

为什么基础类软件会成为黑客的目标？

基础类软件被攻击的事件一旦发生往往会造成严重的后果，探寻黑客的攻击动机有助于我们更好的来防范此类攻击。

百度安全实验室（X-lab）专家xi4oyu分析称：“基础类软件被黑客青睐的一个重要原因在于，它是一个效率非常高的攻击跳板。基础类软件的使用人数往往较多，某些基础类软件如基础库、开发语言、开发组件是维持系统及业务运转的基石，对它们的攻击能够造成巨大的链式伤害。对于某一个基础类软件的后门植入，潜在影响的用户/服务器/应用可能成千上万计！”

基础类软件获得黑客青睐的另外一个重要原因在于，对基础类软件的篡改有很大概率逃脱防毒软件的查杀。特别在安装被篡改的操作系统镜像时，恶意程序的植入肯定优先于杀毒软件的安装，这使得发现的难度大大增加。在“JSPatch”被攻击的事件中，App store自身的安全验证机制也没有发现应用程序底层所存在的恶意程序。此外，很少有用户会关注基础类软件安全问题，也不会对下载的系统文件本身进行严格的安全检查，这让黑客更容易找到可乘之机。

专家建议：主动化解才是正道

在发现了黑客的动机之后，用户应该如何提高对此类攻击的防范能力呢？百度安全专家建议用户遵循以下几点建议：

1. 从可信的渠道下载操作系统安装镜像、基础运行库等基础类软件，并对下载回来的文件进行完整性/签名校验。当然，在此次事情当中，官方渠道被篡改导致网站提供的用于校验的checksum不可信，这就对服务提供商自身的安全提出了较高的要求。比较稳妥的方式是采取多种校验方式，并保护好签名服务器。

2. 时刻关注最新的安全预警信息，如果发现下载的软件有被感染的风险，立刻采取断网、重新安装操作系统、更改敏感账号的密码等应对措施。

3. 加强对于基础类软件风险的认知，提高自身安全意识，企业用户应该加强对员工的安全教育，不要随意安装来源不明的基础类软件。