大猩猩僵尸网络攻击100个国家,发起30万次DDoS攻击

大猩猩僵尸网络攻击100个国家30万次DDoS攻击

大猩猩僵尸网络已经发起了30多万次DDoS攻击，每天发生2万多次，是一个严重的网络威胁，
这个僵尸网络被称为Gorilla或GorillaBot，是Mirai僵尸网络的危险进化，使用其泄露的源代码构建。
DDoS僵尸网络袭击了多个行业，包括电信、政府服务、金融机构和教育平台，造成了重大破坏。
据报道，包括中国、美国、加拿大和德国在内的100多个国家发生了袭击事件，大猩猩的广泛影响凸显了迫切需要采取更好的安全措施来应对这一持续的威胁。

大猩猩僵尸网络内部：DDoS策略为其攻击提供动力

Gorilla僵尸网络通过渗透易受攻击的物联网设备和服务器来运行。它扫描软件和固件中的已知弱点，利用这些缺陷危害系统。一旦设备被入侵，它就会建立与其中一个指挥和控制（C2）服务器的连接，使Gorilla能够远程协调大规模攻击。
连接到C2服务器后，Gorilla立即采取行动，发动了一系列分布式拒绝服务（DDoS）攻击。利用UDP Flood、SYN Flood和ACK Flood等各种方法，僵尸网络会以过多的流量淹没目标网络。这种持续的数据浪潮可能会削弱服务，使网站和应用程序无法运行。
为了在受感染的系统中保持活跃，大猩猩使用各种技术来确保它保持控制。它在/etc/systemd/system/目录中创建了一个名为custom.service的服务文件，该文件在系统启动时自动运行。此外，Gorilla还会修改关键系统文件，如/etc/profile和/boot/bootcmd，以便在系统重新启动或用户登录时执行恶意脚本。

多设备攻击和密钥利用

Gorilla僵尸网络的优势在于其灵活性，因为它可以感染不同CPU类型的设备，如ARM、MIPS、x86和x86_64。它可以连接到五组指挥和控制（C2）服务器，使其能够进行协调的DDoS攻击。
Gorilla还利用了Apache Hadoop YARN中的一个已知漏洞，使其能够在受感染的系统上远程运行代码。该漏洞自2021年以来一直存在，增加了目标网络的风险。

防御大猩猩威胁

为了防御大猩猩僵尸网络，组织必须专注于以下关键策略：
•实时威胁情报：实施工具，提供对活动威胁的实时洞察，使安全团队能够在僵尸网络攻击（如Gorilla）发生之前预测和阻止它们。
•高级DDoS防护：实施AppTrana等DDoS防护解决方案，包括实时威胁监控、机器人流量行为分析和无计量DDoS防护等功能。这将确保即使是僵尸网络驱动的批量DDoS攻击也能被有效中和，从而保护关键基础设施和服务。
•定期安全更新和补丁：确保所有系统定期更新和补丁，以关闭Gorilla可能利用的漏洞。优先为网络设备、物联网系统和web应用程序打补丁。
•网络分段和隔离：如果一个区域受到破坏，将您的网络划分为安全段，以限制僵尸网络的传播。隔离关键资产可以减少任何违规行为的影响。
•持续监控和事件响应：建立24/7监控，及早发现异常流量。制定明确的事件响应计划，以便在检测到任何攻击时快速解决和消除攻击。