近日，網絡安全研究人員發現了一個名為 Gorilla（又名 GorillaBot）的新僵尸網絡惡意軟件家族，它是已泄露的 Mirai 僵尸網絡源代碼的變種。

網絡安全公司 NSFOCUS 在上個月發現了這一活動，并稱該僵尸網絡在今年 9 月 4 日至 9 月 27 日期間發布了 30 多萬條攻擊命令，攻擊密度之高令人震驚。據悉，該僵尸網絡平均每天會發出不少于 2萬條分布式拒絕服務（DDoS）攻擊的命令。

該僵尸網絡以 100 多個國家為目標，攻擊大學、政府網站、電信、銀行、游戲和賭博部門。美國、加拿大和德國等多個國家為主要攻擊目標。

據介紹，Gorilla 主要使用 UDP flood、ACK BYPASS flood、Valve Source Engine (VSE) flood、SYN flood 和 ACK flood 進行 DDoS 攻擊。同時，UDP 協議的無連接特性允許任意源 IP 欺騙以產生大量流量。

除了支持 ARM、MIPS、x86_64 和 x86 等多種 CPU 架構外，僵尸網絡還具備與五個預定義命令與控制（C2）服務器之一連接的功能，以等待 DDoS 命令。

有趣的是，該惡意軟件還嵌入了利用 Apache Hadoop YARN RPC 安全漏洞實現遠程代碼執行的功能。值得注意的是，據阿里云和趨勢科技稱，該缺陷早在 2021 年就已在野外被濫用。

通過在“/etc/systemd/system/”目錄下創建名為custom.service的服務文件，并將其配置為每次系統啟動時自動運行，就可以在主機上實現持久化。

該服務負責從遠程服務器（“pen.gorillafirewall[.]su”）下載并執行 shell 腳本（“lol.sh”）。類似的命令還被添加到“/etc/inittab”、“/etc/profile ”和“/boot/bootcmd ”文件中，以便在系統啟動或用戶登錄時下載并運行 shell 腳本。

NSFOCUS 表示：該僵尸網絡引入了多種 DDoS 攻擊方法，并使用了 Keksec 組織常用的加密算法來隱藏關鍵信息，同時采用多種技術來保持對物聯網設備和云主機的長期控制，作為一個新興僵尸網絡家族其展現出了高度的反偵測意識。