大猩猩僵尸网络

网络安全研究人员发现了一种名为 Gorilla（或 GorillaBot）的新型僵尸网络恶意软件家族，它基于Mirai 僵尸网络的公开源代码。

据监测该活动的专家介绍，Gorilla僵尸网络在极短的时间内执行了超过30万条攻击命令，2024年9月的攻击率惊人。该僵尸网络平均每天发起大约2万条命令，专门用于发起分布式拒绝服务（DDoS）攻击。

超过 100 个国家成为 DDoS 攻击目标

据悉，该僵尸网络已针对 100 多个国家/地区发起攻击，攻击对象包括大学、政府网站、电信、银行以及游戏和博彩行业。受影响最严重的国家包括中国、美国、加拿大和德国。

专家指出，Gorilla主要采用UDP洪水、ACK BYPASS洪水、Valve Source Engine（VSE）洪水、SYN洪水、ACK洪水等方式进行DDoS攻击。UDP协议的无连接特性允许任意源IP欺骗，从而产生大量流量。

除了支持多种 CPU 架构（包括 ARM、MIPS、x86_64 和 x86）之外，该僵尸网络还具有连接五个预定义命令和控制 (C2) 服务器之一以接收 DDoS 命令的能力。

漏洞利用及持久性机制

值得一提的是，该恶意软件整合了利用 Apache Hadoop YARN RPC 中的安全漏洞的功能，从而实现远程代码执行。自 2021 年以来，这一漏洞就一直被广泛利用。

为了确保在主机上的持久性，恶意软件在 /etc/systemd/system/ 目录中创建了一个名为 custom.service 的服务文件，该文件配置为在系统启动时自动运行。此服务的任务是从远程服务器 (pen.gorillafirewall.su) 下载并执行名为 lol.sh 的 shell 脚本。此外，在 /etc/inittab、/etc/profile 和 /boot/bootcmd 文件中插入了类似的命令，以便在系统启动或用户登录时下载和执行 shell 脚本。

该恶意软件引入了多种 DDoS 攻击方法，并采用了 Keksec 组织常用的加密算法来隐藏关键信息。它还利用多种技术来长期控制物联网设备和云主机，反映出对新兴僵尸网络家族典型的反检测措施的复杂认识。

一些安全研究人员认为，Gorilla Botnet 恶意软件并不是全新的，它已经活跃了一年多。