近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個名為 Gorilla（又名 GorillaBot）的新僵尸網(wǎng)絡(luò)惡意軟件家族，它是已泄露的 Mirai 僵尸網(wǎng)絡(luò)源代碼的變種。

網(wǎng)絡(luò)安全公司 NSFOCUS 在上個月發(fā)現(xiàn)了這一活動，并稱該僵尸網(wǎng)絡(luò)在今年 9 月 4 日至 9 月 27 日期間發(fā)布了 30 多萬條攻擊命令，攻擊密度之高令人震驚。據(jù)悉，該僵尸網(wǎng)絡(luò)平均每天會發(fā)出不少于 2萬條分布式拒絕服務(wù)（DDoS）攻擊的命令。

該僵尸網(wǎng)絡(luò)以 100 多個國家為目標，攻擊大學、政府網(wǎng)站、電信、銀行、游戲和賭博部門。美國、加拿大和德國等多個國家為主要攻擊目標。

據(jù)介紹，Gorilla 主要使用 UDP flood、ACK BYPASS flood、Valve Source Engine (VSE) flood、SYN flood 和 ACK flood 進行 DDoS 攻擊。同時，UDP 協(xié)議的無連接特性允許任意源 IP 欺騙以產(chǎn)生大量流量。

除了支持 ARM、MIPS、x86_64 和 x86 等多種 CPU 架構(gòu)外，僵尸網(wǎng)絡(luò)還具備與五個預(yù)定義命令與控制（C2）服務(wù)器之一連接的功能，以等待 DDoS 命令。

有趣的是，該惡意軟件還嵌入了利用 Apache Hadoop YARN RPC 安全漏洞實現(xiàn)遠程代碼執(zhí)行的功能。值得注意的是，據(jù)阿里云和趨勢科技稱，該缺陷早在 2021 年就已在野外被濫用。

通過在“/etc/systemd/system/”目錄下創(chuàng)建名為custom.service的服務(wù)文件，并將其配置為每次系統(tǒng)啟動時自動運行，就可以在主機上實現(xiàn)持久化。

該服務(wù)負責從遠程服務(wù)器（“pen.gorillafirewall[.]su”）下載并執(zhí)行 shell 腳本（“l(fā)ol.sh”）。類似的命令還被添加到“/etc/inittab”、“/etc/profile ”和“/boot/bootcmd ”文件中，以便在系統(tǒng)啟動或用戶登錄時下載并運行 shell 腳本。

NSFOCUS 表示：該僵尸網(wǎng)絡(luò)引入了多種 DDoS 攻擊方法，并使用了 Keksec 組織常用的加密算法來隱藏關(guān)鍵信息，同時采用多種技術(shù)來保持對物聯(lián)網(wǎng)設(shè)備和云主機的長期控制，作為一個新興僵尸網(wǎng)絡(luò)家族其展現(xiàn)出了高度的反偵測意識。