大猩猩殭屍網絡

網路安全研究人員發現了一個新的殭屍網路惡意軟體家族，稱為 Gorilla（或 GorillaBot），它基於Mirai 殭屍網路的公開原始碼。

據監測這項活動的專家稱，大猩猩殭屍網路在極短的時間內執行了超過30 萬條攻擊命令，2024 年9 月的攻擊率驚人。用於促進分散式拒絕－服務中斷 (DDoS) 攻擊。

DDoS 嘗試針對 100 多個國家/地區

據報道，該殭屍網路已針對 100 多個國家/地區，對大學、政府網站、電信、銀行以及遊戲和賭博行業發動攻擊。受影響最嚴重的國家包括中國、美國、加拿大和德國。

專家表示，Gorilla主要採用UDP Flood、ACK BYPASS Flood、Valve Source Engine (VSE) Flood、SYN Flood、ACK Flood等方式進行DDoS攻擊。 UDP 協定的無連線特性可實現任意來源 IP 欺騙，從而產生大量流量。

除了支援多種 CPU 架構（包括 ARM、MIPS、x86_64 和 x86）之外，此殭屍網路還能夠連接到五個預先定義的命令與控制 (C2) 伺服器之一以接收 DDoS 命令。

漏洞利用及持久化機制

值得注意的是，該惡意軟體整合了利用 Apache Hadoop YARN RPC 中安全漏洞的功能，使其能夠實現遠端程式碼執行。至少自 2021 年以來，這項特殊缺陷就已被廣泛利用。

為了確保在主機上的持久性，惡意軟體會在 /etc/systemd/system/ 目錄中創建一個名為 custom.service 的服務文件，該文件被配置為在系統啟動時自動運行。該服務的任務是從遠端伺服器 (pen.gorillafirewall.su) 下載並執行名為 lol.sh 的 shell 腳本。此外，類似的命令也插入/etc/inittab、/etc/profile和/boot/bootcmd檔案中，以便於在系統啟動或使用者登入時下載和執行shell腳本。

該惡意軟體引入了多種 DDoS 攻擊方法，並採用 Keksec 組織常用的加密演算法來掩蓋關鍵資訊。它還利用多種技術來維持對物聯網設備和雲端主機的長期控制，反映了對新興殭屍網路家族典型的反偵測措施的複雜認識。

一些安全研究人員認為，大猩猩殭屍網路惡意軟體並不是全新的，它已經活躍了一年多。