bevictor伟德

首页 > 关于bevictor伟德 > 新闻动态 > 深度解读

全天候攻击：物联网僵尸网络GorillaBot揭秘

宣布时间 2025-01-07

导语：

bevictor伟德与广州大学网安学院监测到一个自称GorillaBot的物联网僵尸网络。。。本文通过对该僵尸网络举行样本手艺剖析，，，周全先容了其基本信息、攻击目的、撒播方法等细节，，，以作为各行业及相关企业制订网络清静战略的参考。。。

2024年9月初，，，bevictor伟德在加入国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”的研究历程中，，，监测到了一个自称GorillaBot的物联网僵尸网络。。。

自觉现以来，，，GorillaBot僵尸网络在提倡漫衍式拒绝效劳（DDoS）攻击方面体现出异�；；；；钤镜奶�。。。凭证监测统计，，，阻止9月尾，，，该僵尸网络的下令与控制（C2）效劳器已下发凌驾30万条攻击指令。。。别的，，，GorillaBot所发动的DDoS攻击泛起出全天候、24小时不中止的特点，，，差别于一些有纪律作息模式的攻击行为，，，此次攻击没有体现出任何休息或削弱的迹象，，，显示出攻击者意在恒久维持高压态势，，，对目的造成一连性的压力和损害。。。

攻击运动一直一连到11月下旬，，，时代我们视察到C2效劳器的数目逐渐镌汰，，，最终下线。。。然而，，，到了12月，，，新的GorillaBot样本再次泛起，，，并迅速安排了一套全新的C2基础设施，，，重新恢复并维持了高强度的全天候攻击态势。。。

图片1.jpg

手艺剖析

1、基本信息

GorillaBot同样基于Mirai举行的二次开发。。。在9月份捕获的样本险些完全复用了Mirai的源代码，，，并在此基础上引入了多种新的DDoS攻击要领，，，增强了其攻击能力。。。从10月份最先，，，其代码最先举行优化调解，，，新版本在通讯协议中引入了加密及校验机制，，，进一步增强了其攻击运动的隐藏性和抗滋扰能力，，，并且一直坚持到了现在。。。

运行后，，，它会在屏幕上打印字符串“The Gorilla Botnet Cats Came After You!”，，，这也是GorillaBot名称的由来。。。

GorillaBot致力于多平台适配事情，，，旨在扩大其潜在熏染规模。。。自9月份以来，，，它已经支持了包括arm、misp、x86_64以及x86在内的多种CPU架构。。。随着版本迭代，，，在10月份新增了对mipsel架构的支持；；；；到12月，，，又进一步扩展至m68k、sh4和sparc等更多样化的处置惩罚器类型。。。

2、攻击目的

阻止现在，，，GorillaBot的攻击运动已经波及全球凌驾130个国家和地区。。。其攻击目的涉及种种行业领域，，，包括但不限于电信、运营商、银行、云盘算数据中心、游戏、教育、政府网站、博彩等。。。尤其值得注重的是，，，中国和美国是此次攻击运动受害最为严重的两个国家。。。

图片2.jpg

海内有4300多个目的IP被攻击，，，涵盖天下所有省级行政区，，，包括港澳台。。。从地区漫衍来看，，，受害最严重的地区是香港、浙江、广东、湖北、江苏等省份。。。

图片3.jpg

另外，，，从攻击方法来看，，，GorillaBot更倾向于提倡UDP协议的DDoS攻击，，，占整个攻击运动的42%以上。。。包括udp_plain、vse、udp_discord、udp_a2s、udp_fivem、udp_openvpn。。。

图片4.jpg

3、撒播方法

GorillaBot主要使用Telnet弱口令猜解的方法扩散，，，通过内置硬编码的96种常见弱口令组合实验未经授权会见装备。。。

在9月初的早期样本中，，，GorillaBot曾短暂地使用了Hadoop Yarn RPC未授权会见误差来举行撒播，，，随后更新便移除了针对Hadoop误差的使用代码，，，最终仅保存了基于Telnet弱口令暴力破解这一简朴高效的古板撒播手段。。。

图片5.jpg

行为剖析

1、初始化

在2024年9月的早期样本中，，，我们发明了大宗与调试器检测相关的字符串。。。这些字符串的保存批注攻击者有意图地设计了重大的逻辑来识别是否保存调试工具正在监控或修改其行为。。。以下是一些在早期样本中发明的典范调试器检测字符串示例：

图片6.jpg

可是，，，并未发明这些字符串有任何现实引用，，，也未能找到其它检测调试器的代码。。。这批注虽然GorillaBot的开发者似乎有意图加入调试器检测功效，，，但在该版本中这些功效可能还没有实现。。。

自2024年10月起，，，GorillaBot样本引入了现实的调试器检测机制。。。首先通过检测"/proc/self/status"文件中的"TracerPid"字段来检测调试器。。。若是检测到调试器则连忙退出历程。。。

图片7.jpg

继而通过检查文件"/proc"文件是否保存，，，作为判断目今情形是否为蜜罐的依据。。。

图片8.jpg

随后检查cgroup信息中的特定字符串来判断是否运行在容器情形中，，，特殊是查找包括"kubepods"的字符串。。。

图片9.jpg

为了确保在系统重启后仍能执行，，，GorillaBot接纳了建设系统效劳的方法实现长期化。。。详细来说，，，它会在/etc/systemd/system/目录下建设一个名为custom.service的效劳文件，，，使其能够在系统启动时自动运行。。。

图片10.jpg

custom.service效劳的焦点功效是下载名为lol.sh的剧本到/tmp/目录，，，设置执行权限并执行。。。下载链接来自硬编码的字符串"kwws=22;:14531;7157:2oro1vk"，，，依次减去0x03即可解密出下载链接。。。

图片11.jpg

为了进一步确保其长期性，，，GorillaBot还会对要害系统设置文件(/etc/inittab、/etc/profile、/boot/bootcmd)举行修改添加下令，，，以实现在系统的差别启动阶段自动下载并执行lol.sh剧本。。。

图片12.jpg

在/etc/init.d/目录下建设名为"mybinary"或者"system"的剧本，，，设置它在系统启动时执行，，，去下载下载执行lol.sh剧本。。。

图片13.jpg

别的，，，GorillaBot还会实验在/etc/rc.d/rc.local或/etc/rc.conf（若是不保存）中添加指向"mybinary"或者"system"的软链接，，，以确保在系统启动时自动执行该剧本。。。

这种多条理、多途径的长期化战略既反应了GorillaBot开发者对系统机制有很深刻的明确，，，也批注晰致力于恒久控制受熏染者的装备。。。

上述办法完成之后，，，则进入Mirai类物联网僵尸网络常见的执行流程：监听38242端口以实现简单历程实例、开启telnet扫描等，，，随后和C2建设通讯并期待执行C2下发的DDoS下令。。。

2、C2效劳器

9月份的GorillaBot样本硬编码5个C2，，，减去0x03即可解密。。。10月份起，，，引入一个很是重大的加密函数enc_switch，，，用来解密C2效劳器字符串，，，每个C2都有一个的密钥。。。

图片14.jpg

着实10月份之后的样本，，，C2通讯开启加密验证，，，加密也使用enc_switch函数。。。显然，，，着实现的是某种对称加密算法。。。12月份的样本只有一个硬编码的明文C2效劳器，，，不再加密C2字符串。。。

3、通讯协议

9月初的样本完全复刻了Mirai的通讯协议，，，包括上线数据，，，心跳包以及攻击下令等各方面都和Mirai没有任何区别。。。10月份起，，，样本在总体保存Mirai通讯协议的同时，，，新加入了加密和校验机制。。。以上线数据与攻击指令为例。。。

3.1 上线数据

图片15.jpg

毗连C2乐成后，，，首先向C2发送1字节的0x01。。。C2向Bot返回4字节的随机数据，，，本例是"\x3f\xf3\x05\x62"。。。GorillaBot通过对称加密算法，，，加密上述4字节数据，，，盘算密文的Sha256，，，并发送给C2。。。C2在收到密文的Sha256，，，校验无误之后，，，返回1字节的0x01作为认证通过数据。。。随后GorillaBot发送保存的Mirai协议数据，，，至此上线乐成，，，进入相互发送心跳包以及下发DDoS指令阶段。。。从上线到C2下发DDoS攻击指令，，，整个交互流程如下：

图片16.jpg

3.2 攻击指令

自9月份泛起伊始，，，GorillaBot就进入异�；；；；钤镜墓セ鹘锥�。。。C2天天下发的DDoS攻击指令数目惊人，，，抵达1万条甚至2万条以上。。。更值得注重的是，，，GorillaBot的攻击是全天候的，，，一天24小时内都在不中止下发攻击指令，，，没有任何休息中止时间。。。

GorillaBot的攻击指令载荷数据使用按字节加0x03的方法加密，，，对加密后数据的盘算Sha256，，，作为校验值使用。。。

图片17.jpg

图片18.jpg

GorillaBot在吸收到DDoS攻击指令后，，，先校验攻击指令载荷数据的Sha256，，，校验通过之后，，，再减去0x03解密。。。随后挪用attack_parse函数去执行。。。

以某DDoS攻击指令为例：

图片19.jpg

前2字节是本帧DDoS攻击指令的数据长度减去2，，，随后32字节是DDoS攻击指令载荷数据的Sha256校验值。。。上图绿色部分是Sha256校验值，，，从偏移34到最后是的红色部分是真正的DDoS攻击指令载荷数据。。。验证如下：

图片20.jpg

DDoS攻击指令载荷数据减去0x03即可解密，，，如下：

图片21.jpg

解密后的DDoS攻击指令载荷数据和Mirai完全一致。。。事实上，，，仔细视察会发明，，，若是去掉Sha256校验和加密，，，它完全就是Mirai的攻击指令名堂。。。上述攻击指令简要形貌如下：

图片22.jpg

因此，，，上述DDoS攻击指令即是向指定目的159.xxx.xxx.29:80，，，提倡attack_udp_vse类型的攻击，，，一连120秒钟。。。攻击流量如下：

图片23.jpg

现在，，，GorillaBot现在共支持20个 DDoS攻击类型，，，如下：

图片24.jpg

总结

阻止现在，，，GorillaBot僵尸网络仍然处于高度活跃状态，，，天天通过C2效劳器下发靠近一万条攻击指令，，，对全球规模内的目的IP地点一连提倡漫衍式拒绝效劳（DDoS）攻击，，，影响了从金融到公共效劳等多个要害行业。。。它全天候、无中止地对全球各地的目的举行攻击，，，不但频率高并且笼罩普遍，，，已经成为当今互联网清静领域的一大威胁。。。

别的，，，GorillaBot仍在一直更新其代码库以坚持最新的攻击能力。。。只管这些更新大多集中在细微之处，，，并未泛起革命性的转变，，，我们仍会继续跟踪视察，，，尤其是其攻击目的的选择以及攻击能力的进化。。。同时，，，也提醒各机构和小我私家用户增强对网络清静防护步伐的重视，，，如实时更新软件补丁、强化密码治理等，，，以降低遭受攻击的危害。。。

IOC

C2：

45.202.35.64:38242

87.120.84.105:38242

87.120.84.248:38242

87.120.84.249:38242

91.92.246.113:38242

93.123.85.166:38242

94.156.227.234:38242

154.216.17.220:38242

154.216.19.139:38242

185.170.144.84:38242

193.143.1.59:38242

185.208.158.192:38242

LOL Download URL：

http://87.120.84.247/lol.sh

http://94.156.227.233/lol.sh

http://154.216.19.140/lol.sh

http://pen.gorillafirewall.su/lol.sh

http://193.143.1.70/lol.sh

http://154.216.17.182/lol

http://154.216.17.208/lol

http://154.216.18.173/lol

http://154.216.19.140/lol

http://154.216.19.61/lol

http://154.216.19.99/lol

http://154.216.20.14/lol

http://154.216.20.45/lol

http://185.170.144.49/lol

http://185.208.158.215/lol

http://45.202.35.35/lol

http://45.66.231.26/lol

http://45.88.88.41/lol

http://45.89.247.112/lol

http://46.8.69.32/lol

http://66.63.187.145/lol

http://66.63.187.216/lol

http://87.120.166.20/lol

http://87.120.84.247/lol

http://91.208.197.4/lol

http://91.92.247.42/lol

http://93.123.85.225/lol

http://94.156.177.68/lol

http://94.156.65.232/lol

http://ms-email-recoveryid.line.pm/lol

http://pen.gorillafirewall.su/lol

http://www.protectorkrmnts.info/lol

http://www.xn--girsdom-9ya.com/lol

http://xn--girsdom-9ya.com/lol

SHA256：

1276a39c595af5b314111387ef58fd3fc11c55e62a140b8a2c4ff0132b648243

23459e531e09663d4fe7b1d3cca93b278eabe438e843f33dea95124fe9bb081d

23c870185f29b1e92dbd10993e944c69dc50fc58cc2ee3e79712c9b5f3dd50d1

2970ffa62f3033c64a781ce28395103f6d0385b2b67988ad554c14c2440a4508

6d44898df317ce936f82196b60c65e1038610ce4e9d4e8ef8151d798af140a0d

3aaee5e38481750900c5949aa54e45acd43a162d009f04ec24893cd2ecb38d73

3c60e9e280de8798ffebfdd361f2fbbafe78c65e4ba0579ae1717684594a2ed5

3905126f5f9f7430dee31c207706852e56292291449b563781bc6ee0b540343a

549627b2ba0ef60640456a03a70e46d4c45726443fd9ac4f48bddb8aab625c9b

78cbf2863748c64ea013c2676744de4090a9029c00aade1b7cf9e698c1f95b56

ec194196bdb79b046a5dfab35a70e301376f29fa841698bf3819850168d0b09f

d339e88fd6b6f2ad713c835639d09022cbc92d55dab8a0a5006c18ca5d8e01a9

ff88b732f6fbcf440c03b1de170ab6d3b489477c93daca5057c5a7344d05f5b2

注：

bevictor伟德是国家重点研发妄想项目“大规模异构物联网威胁可控捕获与剖析手艺（2022YFB3104100）”课题一“异构物联网僵尸网络威胁感知要害手艺及系统（2022YFB3104101）”的焦点肩负单位之一，，，与课题四“高质量攻击数据诱捕与剖析要害手艺及系统（2022YFB3104104）”牵头单位�？？低优浜先险嫦钅恐械亩褚獯肫饰鍪虑�。。。项目及课题均由广州大学网络空间清静学院牵头，，，旨在构建大规模物联网攻击威胁自动防护能力。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? bevictor伟德版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】