新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击

主要观点总结

网络安全研究人员发现了名为Gorilla的新僵尸网络恶意软件家族，它是Mirai僵尸网络源代码的变种。该僵尸网络在近期发布了超过30万条攻击命令，攻击目标包括大学、政府网站、电信、银行、游戏和赌博部门，主要攻击国家包括美国、加拿大和德国。Gorilla僵尸网络使用多种DDoS攻击方法，并采用了Keksec组织常用的加密算法来隐藏关键信息，展现出了高度的反侦测意识。

关键观点总结

关键观点1: Gorilla是Mirai僵尸网络源代码的变种

网络安全公司NSFOCUS发现了这一活动，指出Gorilla恶意软件在特定时间段内发布了大量攻击命令。

关键观点2: Gorilla主要进行DDoS攻击

使用的攻击方法包括UDP flood、ACK BYPASS flood等。UDP协议的无连接特性被用于产生大量流量。

关键观点3: Gorilla僵尸网络具备多种CPU架构支持

除了攻击方法，该僵尸网络还具备与预定义C2服务器连接的功能，以接收DDoS命令。其恶意软件还嵌入利用Apache Hadoop YARN RPC安全漏洞实现远程代码执行的功能。

关键观点4: Gorilla僵尸网络具备持久化能力

通过在系统目录下创建服务文件并配置为自动运行，可以在主机上实现持久化。同时，使用加密算法隐藏关键信息，采用多种技术保持对物联网设备和云主机的长期控制。

文章预览

近日，网络安全研究人员发现了一个名为 Gorilla（又名 GorillaBot）的新僵尸网络恶意软件家族，它是已泄露的 Mirai 僵尸网络源代码的变种。 网络安全公司 NSFOCUS 在上个月发现了这一活动，并称该僵尸网络在今年 9 月 4 日至 9 月 27 日期间发布了 30 多万条攻击命令，攻击密度之高令人震惊。据悉，该僵尸网络平均每天会发出不少于 2万条分布式拒绝服务（DDoS）攻击的命令。 该僵尸网络以 100 多个国家为目标，攻击大学、政府网站、电信、银行、游戏和赌博部门。美国、加拿大和德国等多个国家为主要攻击目标。 据介绍，Gorilla 主要使用 UDP flood、ACK BYPASS flood、Valve Source Engine (VSE) flood、SYN flood 和 ACK flood 进行 DDoS 攻击。同时，UDP 协议的无连接特性允许任意源 IP 欺骗以产生大量流量。 除了支持 ARM、MIPS、x86_64 和 x86 等多种 CPU 架构外，僵尸网络还具备与 ………………………………