新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击

admin 2024年10月8日22:54:15评论30 views字数 922阅读3分4秒阅读模式

新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击

新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击

近日,网络安全研究人员发现了一个名为 Gorilla(又名 GorillaBot)的新僵尸网络恶意软件家族,它是已泄露的 Mirai 僵尸网络源代码的变种。

网络安全公司 NSFOCUS 在上个月发现了这一活动,并称该僵尸网络在今年 9 月 4 日至 9 月 27 日期间发布了 30 多万条攻击命令,攻击密度之高令人震惊。据悉,该僵尸网络平均每天会发出不少于 2万条分布式拒绝服务(DDoS)攻击的命令。

该僵尸网络以 100 多个国家为目标,攻击大学、政府网站、电信、银行、游戏和赌博部门。美国、加拿大和德国等多个国家为主要攻击目标。

据介绍,Gorilla 主要使用 UDP flood、ACK BYPASS flood、Valve Source Engine (VSE) flood、SYN flood 和 ACK flood 进行 DDoS 攻击。同时,UDP 协议的无连接特性允许任意源 IP 欺骗以产生大量流量。

除了支持 ARM、MIPS、x86_64 和 x86 等多种 CPU 架构外,僵尸网络还具备与五个预定义命令与控制(C2)服务器之一连接的功能,以等待 DDoS 命令。

有趣的是,该恶意软件还嵌入了利用 Apache Hadoop YARN RPC 安全漏洞实现远程代码执行的功能。值得注意的是,据阿里云和趋势科技称,该缺陷早在 2021 年就已在野外被滥用。

通过在“/etc/systemd/system/”目录下创建名为custom.service的服务文件,并将其配置为每次系统启动时自动运行,就可以在主机上实现持久化。

该服务负责从远程服务器(“pen.gorillafirewall[.]su”)下载并执行 shell 脚本(“lol.sh”)。类似的命令还被添加到“/etc/inittab”、“/etc/profile ”和“/boot/bootcmd ”文件中,以便在系统启动或用户登录时下载并运行 shell 脚本。

NSFOCUS 表示:该僵尸网络引入了多种 DDoS 攻击方法,并使用了 Keksec 组织常用的加密算法来隐藏关键信息,同时采用多种技术来保持对物联网设备和云主机的长期控制,作为一个新兴僵尸网络家族其展现出了高度的反侦测意识。

原文始发于微信公众号(FreeBuf):新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月8日22:54:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型僵尸网络针对 100 个国家发起 30 万次 DDoS 攻击https://cn-sec.com/archives/3242871.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息