新型 Gorilla 僵尸网络在100 个国家/地区发起超过三十万次DDoS 攻击

2024-10-09 21:50:14 0 1961

网络安全研究人员发现了一个名为 Gorilla(又名 GorillaBot)的新型僵尸网络恶意软件家族,其灵感来自泄露的Mirai僵尸网络源代码。



网络安全研究人员发现了一个名为 Gorilla(又名 GorillaBot)的新型僵尸网络恶意软件家族,其灵感来自泄露的Mirai僵尸网络源代码。

网络安全公司绿盟科技上个月发现了这一活动,它表示,2024年9月4日至9月27日期间,该僵尸网络“发出了超过30万条攻击指令,攻击密度令人震惊。平均每天,该僵尸网络发出的旨在发起分布式拒绝服务(DDoS)攻击的指令不少于2万条。

据称,该僵尸网络已针对100 多个国家和地区发起攻击,攻击大学、政府网站、电信、银行、游戏和博彩行业。中国、美国、加拿大和德国是受攻击最多的国家。

总部位于北京的绿盟科技表示,Gorilla 主要使用UDP 洪水、ACK BYPASS 洪水、Valve Source Engine (VSE) 洪水、SYN 洪水和ACK 洪水进行 DDoS 攻击,此外UDP 协议的无连接特性允许任意源IP 欺骗来产生大量流量。

除了支持 ARM、MIPS、x86_64 和 x86 等多种CPU 架构外,僵尸网络还具有连接五个预定义命令和控制 (C2) 服务器之一以等待DDoS 命令的功能。
有趣的是,该恶意软件还嵌入了利用 Apache Hadoop YARN RPC 中的安全漏洞来实现远程代码执行的功能。值得注意的是,据阿里云和趋势科技称,该漏洞早在2021 年就已被广泛利用。
通过在“/etc/systemd/system/”目录中创建名为 custom.service 的服务文件并将其配置为每次系统启动时自动运行,实现了主机上的持久性。

该服务负责从远程服务器(“pen.gorillafirewall[.]su”)下载并执行 shell 脚本(“lol.sh”)。“/etc/inittab”、“/etc/profile”和“/boot/bootcmd”文件中也添加了类似的命令,以便在系统启动或用户登录时下载并运行 shell 脚本。

绿盟科技表示:“该恶意软件引入了多种DDoS攻击方式,并使用Keksec组织常用的加密算法隐藏关键信息,同时采用多种技术手段长期控制物联网设备和云主机,作为一个新兴的僵尸网络家族,其反检测意识很强。”

更新
一位网名为Fox_threatintel 的安全研究员在X 上分享的一篇文章中表示,僵尸网络恶意软件并不是全新的,而且已经活跃了一年多。

关于作者

bluerain7篇文章30篇回复

评论0次

要评论?请先  登录  或  注册