绿盟科技伏影实验室近日监测到新型僵尸网络家族gorillabot进入异常活跃状态,自9月4日至27日,该家族下发了超过30万条DDoS攻击指令,单日最高达2万余条,攻击目标遍布113个国家,中美两国受害最为严重。
攻击规模:gorillabot在一个月内发起超过30万次DDoS攻击,单日峰值超过2万次,显示出极高的攻击密度和持续性。
攻击范围:攻击目标覆盖全球113个国家,国内受害最为严重,占比20%,其次为美国(19%)和加拿大(16%)。
攻击方式:主要利用UDP Flood(占比41%)、ACK_BYPASS-FLOOD(占比24%)和VSE Flood(占比12%)等DDoS攻击手段,通过伪造源IP实现高流量攻击。
技术特点:gorillabot修改自Mirai源代码,支持多种CPU架构,新增多种DDoS攻击方式,并采用KekSec团伙惯用的加密算法隐藏关键信息。同时,具备反蜜罐能力和持久化机制,通过Hadoop Yarn RPC漏洞利用和创建系统服务等方式维持对IoT和云主机等设备的长期控制。
关键影响:国内多所大学、政府网站、运营商、银行及科技公司等关键基础设施受到攻击,显示出该僵尸网络对重要目标的针对性。