新型 Gorilla 僵尸网络在 100 个国家/地区发动超过 300,000 次 DDoS 攻击
网络安全正面临一种新的威胁,它的名字是 Gorilla,也称为 GorillaBot。这个僵尸网络是臭名昭著的 Mirai 僵尸网络的一个变种,它发动了大量分布式拒绝服务 (DDoS) 攻击,短短几周内就对 100 个国家/地区发动了超过 300,000 次攻击。据网络安全公司 NSFOCUS 称,这波无情的攻击发生在 2024 年 9 月 4 日至 9 月 27 日之间,造成了全球性破坏。
Table of Contents
Gorilla 僵尸网络的覆盖范围
在不到一个月的时间里,Gorilla 僵尸网络平均每天发出 20,000 次 DDoS 攻击命令。美国、中国、加拿大和德国等国家已成为其主要目标,受影响的行业非常广泛,包括大学、电信提供商、银行,甚至游戏和博彩业。更令人担忧的是这些攻击的规模。
僵尸网络主要利用各种攻击媒介,包括 UDP 洪水、ACK BYPASS 洪水、Valve Source Engine (VSE) 洪水、SYN 洪水和 ACK 洪水。这些方法旨在用流量淹没目标系统,使它们难以正常运行,甚至无法正常运行。特别令人担忧的是使用 UDP 洪水攻击,这种攻击利用 UDP 协议的无连接特性,通过欺骗源 IP 地址来生成大量流量。
高度复杂的恶意软件
除了庞大的规模,Gorilla 僵尸网络的与众不同之处在于其复杂性。该僵尸网络旨在跨多种 CPU 架构运行,包括 ARM、MIPS、x86_64 和 x86,从而能够渗透到各种设备中。一旦恶意软件感染系统,它就会连接到五个预定义的命令和控制 (C2) 服务器之一以接收新的 DDoS 命令。
此外,该恶意软件还利用了 Apache Hadoop YARN RPC 中已知的漏洞,该漏洞自 2021 年以来就一直被利用。通过这样做,Gorilla 僵尸网络可以在受感染的设备上实现远程代码执行,从而能够长期控制这些系统。通过创建服务文件来确保持久性,这些服务文件会在系统启动或用户登录时自动执行 shell 脚本。
反检测策略
Gorilla 真正令人担忧的是它逃避检测的能力。根据 NSFOCUS 的说法,该僵尸网络采用加密技术来掩盖关键信息,使网络安全专业人员难以检测和消除该恶意软件。它还借用了 Keksec 组织的加密方法,该组织以开发针对物联网设备和云系统的恶意软件而闻名。这些策略的结合使 Gorilla 僵尸网络能够长时间控制受感染的设备而不被发现。
为什么你应该关心
Gorilla 僵尸网络的快速扩张及其在如此广泛的领域实施大规模 DDoS 攻击的能力使其成为企业、政府和个人面临的巨大威胁。随着物联网设备在家庭和行业中越来越普遍,僵尸网络驱动的攻击风险不断增加。对于组织,尤其是目标行业的组织,立即采取措施加强网络安全防御对于减轻此类攻击至关重要。
Gorilla 僵尸网络的出现清楚地提醒我们,网络威胁正在不断演变,变得更加激进和复杂。无论您是管理家中 IoT 设备的个人,还是运营关键基础设施的企业,要想领先于这些威胁,就需要时刻保持警惕并采取主动的网络安全措施。随着 Gorilla 等僵尸网络的肆虐,现在不是掉以轻心的时候。
组织应与网络安全公司密切合作,并随时了解最新的漏洞和威胁,以保护其网络。
