“萝莉帮”跨平台僵尸网络可发起DDoS攻击

2019年7月3日，我国安全厂商腾讯公司发布报告，称监测到名为“萝莉帮（Loligang）”的跨平台僵尸网络可发起DDoS攻击。组成僵尸网络的设备包括Windows服务器、Linux服务器以及大量物联网设备，攻击者使用的木马类型包括Nitol、XorDDoS和Mirai。报告称，此次遭受攻击的系统中较高比例为Weblogic服务器，攻击过程中执行的远程脚本中包含VM脚本(在web服务端模板velocity环境执行)，由此推测在该攻击中攻击者采用了各类Web漏洞利用。攻击者使用的木马程序中，Nitol木马入侵Windows系统后会通过弱口令爆破横向传播，感染内网中其他机器，然后连接命令控制服务器，接收并执行指令进行DDoS攻击；感染Linux系统的XorDDoS木马会在/etc/init.d中创建副本，创建一个新的cron.sh脚本并将其添加到定时任务，最终目的为对其他机器发起DDoS攻击；Mirai病毒的多个变种则会感染物联网设备，根据不同的CPU架构植入不同的二进制文件，按照随机生成的IP地址列表针对具有弱凭据或已知漏洞的设备进行探测攻击，同时连接命令控制服务器，接收指令执行DDoS攻击。