近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)名為 Gorilla（又名 GorillaBot）的新僵尸網(wǎng)絡(luò)惡意軟件家族，它是已泄露的 Mirai 僵尸網(wǎng)絡(luò)源代碼的變種。

網(wǎng)絡(luò)安全公司 NSFOCUS 在上個(gè)月發(fā)現(xiàn)了這一活動(dòng)，并稱(chēng)該僵尸網(wǎng)絡(luò)在今年 9 月 4 日至 9 月 27 日期間發(fā)布了 30 多萬(wàn)條攻擊命令，攻擊密度之高令人震驚。據(jù)悉，該僵尸網(wǎng)絡(luò)平均每天會(huì)發(fā)出不少于 2萬(wàn)條分布式拒絕服務(wù)（DDoS）攻擊的命令。

該僵尸網(wǎng)絡(luò)以 100 多個(gè)國(guó)家為目標(biāo)，攻擊大學(xué)、政府網(wǎng)站、電信、銀行、游戲和賭博部門(mén)。美國(guó)、加拿大和德國(guó)等多個(gè)國(guó)家為主要攻擊目標(biāo)。

據(jù)介紹，Gorilla 主要使用 UDP flood、ACK BYPASS flood、Valve Source Engine (VSE) flood、SYN flood 和 ACK flood 進(jìn)行 DDoS 攻擊。同時(shí)，UDP 協(xié)議的無(wú)連接特性允許任意源 IP 欺騙以產(chǎn)生大量流量。

除了支持 ARM、MIPS、x86_64 和 x86 等多種 CPU 架構(gòu)外，僵尸網(wǎng)絡(luò)還具備與五個(gè)預(yù)定義命令與控制（C2）服務(wù)器之一連接的功能，以等待 DDoS 命令。

有趣的是，該惡意軟件還嵌入了利用 Apache Hadoop YARN RPC 安全漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的功能。值得注意的是，據(jù)阿里云和趨勢(shì)科技稱(chēng)，該缺陷早在 2021 年就已在野外被濫用。

通過(guò)在“/etc/systemd/system/”目錄下創(chuàng)建名為custom.service的服務(wù)文件，并將其配置為每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，就可以在主機(jī)上實(shí)現(xiàn)持久化。

該服務(wù)負(fù)責(zé)從遠(yuǎn)程服務(wù)器（“pen.gorillafirewall[.]su”）下載并執(zhí)行 shell 腳本（“l(fā)ol.sh”）。類(lèi)似的命令還被添加到“/etc/inittab”、“/etc/profile ”和“/boot/bootcmd ”文件中，以便在系統(tǒng)啟動(dòng)或用戶(hù)登錄時(shí)下載并運(yùn)行 shell 腳本。

NSFOCUS 表示：該僵尸網(wǎng)絡(luò)引入了多種 DDoS 攻擊方法，并使用了 Keksec 組織常用的加密算法來(lái)隱藏關(guān)鍵信息，同時(shí)采用多種技術(shù)來(lái)保持對(duì)物聯(lián)網(wǎng)設(shè)備和云主機(jī)的長(zhǎng)期控制，作為一個(gè)新興僵尸網(wǎng)絡(luò)家族其展現(xiàn)出了高度的反偵測(cè)意識(shí)。