近日，网络安全研究人员发现了一个名为 Gorilla（又名 GorillaBot）的新僵尸网络恶意软件家族，该僵尸网络短短几周内就对100 个国家/地区发动了超过 300,000 次攻击。

据网络安全公司 NSFOCUS 称，这一活动发生在今年9月4日至9月27日期间，该僵尸网络平均每天会发出不少于2万条分布式拒绝服务（DDoS）攻击的命令。中国、美国、加拿大和德国等国家成为其主要攻击目标，受影响的行业非常广泛，涉及大学、电信、政府网站、银行，游戏和博彩业。

Gorilla 僵尸网络主要使用 UDP flood、ACK BYPASS flood、Valve Source Engine (VSE) flood、SYN flood 和 ACK flood 进行 DDoS 攻击。其中， UDP flood 这种攻击利用 UDP 协议的无连接特性，通过欺骗源 IP 地址来生成大量流量。Gorilla 僵尸网络的与众不同之处还体现在复杂性上，它可跨多种 CPU 架构运行，包括 ARM、MIPS、x86_64 和 x86，从而能够渗透到各种设备中。一旦恶意软件感染系统，它就会连接到五个预定义的命令和控制 (C2) 服务器之一以接收新的 DDoS 命令。

值得注意的是，该恶意软件还嵌入了利用 Apache Hadoop YARN RPC 中的安全漏洞来实现远程代码执行的功能。通过在“/etc/systemd/system/”目录中创建一个名为custom.service的服务文件并将其配置为每次系统启动时自动运行，就可以在主机上实现持久化。

NSFOCUS表示，该僵尸网络家族展现了高水平的反检测意识，引入了多种 DDoS 攻击手段，并使用了 Keksec 组织常用的加密算法来隐藏关键信息。

资讯来源：thehackernews

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课