新的 Gorilla 殭屍網路在 100 個國家發動了超過 30 萬次 DDoS 攻擊
網路安全正面臨一種新的威脅,它的名字叫 Gorilla,也稱為 GorillaBot。該殭屍網路是臭名昭著的 Mirai 殭屍網路的變種,它發起了一系列分散式阻斷服務 (DDoS) 攻擊,短短幾週內在 100 個國家/地區的攻擊次數就超過了 30 萬次。據網路安全公司綠盟科技稱,這波無情的攻擊發生在2024年9月4日至9月27日期間,造成了全球性的嚴重破壞。
Table of Contents
大猩猩殭屍網路的影響範圍
在不到一個月的時間裡,Gorilla殭屍網路平均每天發出2萬個DDoS攻擊指令。美國、中國、加拿大和德國等國家已成為其主要目標,許多行業——大學、電信提供商、銀行,甚至遊戲和賭博行業——都受到了打擊。更令人震驚的是這些攻擊發生的規模。
此殭屍網路主要利用各種攻擊媒介,包括UDP洪水、ACK BYPASS洪水、VSE洪水、SYN洪水和ACK洪水。這些方法旨在讓目標系統的流量不堪重負,使其難以(甚至不可能)正常運作。特別值得關注的是 UDP 洪水攻擊的使用,這種攻擊利用 UDP 協定的無連接特性,透過欺騙來源 IP 位址來產生大量流量。
高度複雜的惡意軟體
除了數量龐大之外,大猩猩殭屍網路的獨特之處還在於其複雜性。這個殭屍網路設計為跨多種 CPU 架構工作,包括 ARM、MIPS、x86_64 和 x86,使其能夠滲透到各種裝置。一旦惡意軟體感染系統,它就會連接到五個預先定義的命令和控制 (C2) 伺服器之一以接收新的 DDoS 命令。
此外,該惡意軟體還利用了Apache Hadoop YARN RPC 中的一個已知漏洞,該漏洞自2021 年以來一直被利用。保持長期控制在這些系統上。透過建立服務檔案來確保持久性,這些服務檔案在系統啟動或使用者登入時會自動執行 shell 腳本。
反偵查策略
大猩猩真正令人擔憂的是它逃避偵測的能力。綠盟科技表示,該殭屍網路採用加密技術來隱藏關鍵訊息,使網路安全專業人員難以偵測和消滅惡意軟體。它還借鑒了 Keksec 組織的加密方法,該組織因開發針對物聯網設備和雲端系統的惡意軟體而聞名。這些策略的結合使 Gorilla 殭屍網路能夠長時間保持對受感染設備的控製而不被發現。
為什麼你應該關心
Gorilla 殭屍網路的快速擴張及其在如此廣泛的領域進行大規模 DDoS 攻擊的能力,使其對企業、政府和個人等構成巨大威脅。隨著物聯網設備在家庭和工業中變得越來越普遍,殭屍網路驅動的攻擊的風險持續增加。對於組織,尤其是目標產業的組織來說,立即採取措施加強網路安全防禦對於減輕此類攻擊至關重要。
大猩猩殭屍網路的出現清楚地提醒我們,網路威脅正在不斷發展,變得更具攻擊性和複雜性。無論您是在家中管理物聯網設備的個人還是運行關鍵基礎設施的企業,保持領先地位都需要時刻保持警惕並採取主動的網路安全措施。面對像大猩猩這樣的殭屍網絡,現在還不是沾沾自喜的時候。
組織應與網路安全公司密切合作,隨時了解最新的漏洞和威脅,以保護其網路。
