关于Mirai启发的大猩猩僵尸网络在100个国家达到了30万个目标的分析

　　大猩猩僵尸网络(Gorilla Botnet)是一种基于Mirai僵尸网络的变体。Mirai僵尸网络是利用数十万个受感染的物联网设备发起攻击的一种恶意软件，该恶意软件曾在2016年对多家互联网服务提供商(ISP)和网站进行了分布式拒绝服务攻击(DDoS)。

　　一、基本内容

　　据网络安全公司NSFOCUS称，一个新的大猩猩僵尸网络发起了大规模 DDoS 攻击，目标遍及100多个国家。该僵尸网络利用Mirai僵尸网络源代码和先进技术，构成了日益严重的全球性威胁。

　　NSFOCUS 全球威胁狩猎系统检测到一种新的网络安全威胁： 大猩猩僵尸网络。2024 年 9 月，该僵尸网络发起了一系列大规模分布式拒绝服务攻击(DDoS 攻击)，目标遍及100多个国家的30多万个目标。

　　据中国知名应用安全公司 NSFOCUS 称，大猩猩僵尸网络受到臭名昭著的Mirai僵尸网络的启发，因其覆盖范围广、隐蔽性强而备受关注。大猩猩僵尸网络像军队一样利用受损的物联网设备网络发动大规模DDoS攻击。这些攻击会向目标系统发送大量流量，使其无法访问用户。

　　大猩猩僵尸网络之所以特别危险，是因为它使用加密技术来隐藏关键数据，确保对被入侵设备的长期控制，并支持各种CPU架构，使其与各种设备兼容。

　　大猩猩僵尸网络使用分布式 C&C 网络管理其运行，并提供多种 DDoS 攻击方法，包括 UDP Flood、ACK Bypass Flood和VSE Flood。此外，它还利用 UDP 等无连接协议欺骗IP地址，进一步隐藏其来源。

　　全球覆盖范围和影响

　　自2024年9月首次检测到其活动以来，Gorilla已不失时机地大展拳脚。在短短一个月内，该僵尸网络就发布了30多万条攻击指令，平均每天高达2万条。

　　这一系列攻击针对100多个国家，包括经济强国，如中国，加拿大，德国，美国。

　　此外，包括大学、政府网站、电信、银行和游戏平台在内的关键基础设施也成为这些攻击的受害者。

　　根据 NSFOCUS 的报告，Gorilla僵尸网络的复杂程度远不止其攻击手段。该恶意软件采用了臭名昭著的Keksec黑客组织常用的加密算法，使其难以检测/分析。

　　该僵尸网络还非常注重持久性。通过利用Apache Hadoop YARN RPC缺陷等漏洞和安装在系统启动时自动执行的服务，Gorilla 成为了一个难以根除的顽固对手。

　　企业应加强网络安全，以应对Gorilla僵尸网络日益增长的威胁。防火墙有助于阻止可疑流量，而入侵检测系统(IDS)可以发现异常活动并向安全团队发出警报。使用基于云的DDoS防护也有助于减少大量攻击，最大限度地减少关键系统的停机时间。

　　二、分析研判

　　首先，在100多个国家中攻击30万个目标，意味着大量的计算机和物联网设备可能已被感染，并成为大猩猩僵尸网络的一部分。这表明这个恶意软件具有广泛的入侵能力和传播能力。

　　其次，该威胁使用了Mirai的源代码和先进技术，包括加密技术和多种DDoS攻击方法。这使得它难以检测和清除，并且可以隐藏其来源和关键数据以长期控制受感染的设备。

　　最后，该威胁注重持久性，利用漏洞和自动执行的服务来确保其存在，并使其难以根除。这意味着一旦受感染，设备可能会长期受到威胁。

　　三、应对策略

　　企业应该采取必要的安全措施来保护其网络和信息资产，防范潜在的网络安全威胁，包括使用防火墙、入侵检测系统和基于云的DDoS防护等工具。同时，企业也应该定期更新其设备的安全补丁和密码，以防止恶意攻击者利用已知的漏洞入侵系统。