新型 Gorilla 僵尸网络在100 个国家/地区发起超过三十万次DDoS 攻击

网络安全研究人员发现了一个名为 Gorilla（又名 GorillaBot）的新型僵尸网络恶意软件家族，其灵感来自泄露的Mirai僵尸网络源代码。

网络安全公司绿盟科技上个月发现了这一活动，它表示，2024年9月4日至9月27日期间，该僵尸网络“发出了超过30万条攻击指令，攻击密度令人震惊。平均每天，该僵尸网络发出的旨在发起分布式拒绝服务（DDoS）攻击的指令不少于2万条。

据称，该僵尸网络已针对100 多个国家和地区发起攻击，攻击大学、政府网站、电信、银行、游戏和博彩行业。中国、美国、加拿大和德国是受攻击最多的国家。

总部位于北京的绿盟科技表示，Gorilla 主要使用UDP 洪水、ACK BYPASS 洪水、Valve Source Engine (VSE) 洪水、SYN 洪水和ACK 洪水进行 DDoS 攻击，此外UDP 协议的无连接特性允许任意源IP 欺骗来产生大量流量。

除了支持 ARM、MIPS、x86_64 和 x86 等多种CPU 架构外，僵尸网络还具有连接五个预定义命令和控制 (C2) 服务器之一以等待DDoS 命令的功能。
有趣的是，该恶意软件还嵌入了利用 Apache Hadoop YARN RPC 中的安全漏洞来实现远程代码执行的功能。值得注意的是，据阿里云和趋势科技称，该漏洞早在2021 年就已被广泛利用。
通过在“/etc/systemd/system/”目录中创建名为 custom.service 的服务文件并将其配置为每次系统启动时自动运行，实现了主机上的持久性。

该服务负责从远程服务器（“pen.gorillafirewall[.]su”）下载并执行 shell 脚本（“lol.sh”）。“/etc/inittab”、“/etc/profile”和“/boot/bootcmd”文件中也添加了类似的命令，以便在系统启动或用户登录时下载并运行 shell 脚本。

绿盟科技表示：“该恶意软件引入了多种DDoS攻击方式，并使用Keksec组织常用的加密算法隐藏关键信息，同时采用多种技术手段长期控制物联网设备和云主机，作为一个新兴的僵尸网络家族，其反检测意识很强。”

更新
一位网名为Fox_threatintel 的安全研究员在X 上分享的一篇文章中表示，僵尸网络恶意软件并不是全新的，而且已经活跃了一年多。