一、事件概述
最近,安全圈爆出一起严重威胁:一种名为 ShadowV2 的新型僵尸网络/恶意软件正被黑客用于利用物联网(IoT)设备漏洞进行大规模攻击。
ShadowV2 于 2025年10月底首次被发现,与当时一次全球范围的 Amazon Web Services (AWS) 中断事件时间吻合。黑客似乎借这次混乱测试其基础设施。
恶意攻击通过 IoT 设备发起,形成"僵尸网络 (botnet)",以发动大规模分布式拒绝服务攻击 (DDoS) 为主要目的。被攻击设备分布广泛,包括家用/办公路由器、 DVR、NAS 等,影响科技、教育、零售、制造、通信等多个行业。地域从美洲、欧洲扩展至亚洲、非洲等,受害范围覆盖全球。
二、攻击技术与机制
ShadowV2 基于 Mirai,但在结构和混淆技术上做了显著优化。它会先下载一个名为 binary.sh 的脚本,该脚本可针对设备架构 (ARM / MIPS / x86) 拉取对应 payload 并执行。配置文件采用简单 XOR 异或 (key = 0x22) 加密,以隐藏真实命令与参数。此外,ShadowV2 利用了多项已知漏洞 (CVE),包括但不限于:
-
DDWRT: CVE‑2009‑2765 (HTTP Daemon 任意命令执行)
-
D‑Link: CVE‑2020‑25506, CVE‑2022‑37055, CVE‑2024‑10914, CVE‑2024‑10915
-
DigiEver: CVE‑2023‑52163
-
TBK (某 DVR 厂商): CVE‑2024‑3721
-
TP‑Link: CVE‑2024‑53375
一旦激活,僵尸网络会向 C2 (command‑and-control) 服务器登记并等待指令,可执行多种 DDoS 攻击方法 (UDP flood, TCP SYN flood, HTTP flood 等),迅速发动对目标的大流量攻击。
三、应对建议
为了避免此类攻击,组织需要做:
-
立即审视与排查 IoT 资产清单:组织内所有联网设备(路由器、摄像头、DVR、NAS、智能设备等)应列入资产清单,并对其固件版本、默认配置进行评估。
-
及时打补丁、升级固件:对公开已知漏洞 (上述 CVE) 的设备,若厂商已有补丁,应尽快应用;若厂商已停止支持,应考虑替换设备。
-
关闭不必要的远程管理接口 / 默认帐号登录:禁用 Telnet、默认帐号、默认密码,改用强密码并限制远程访问权限。
四、艾体宝解决方案
艾体宝ONEKEY 解决方案通过自动化安全合规检测 ,为客户提供全面的设备合规和安全性评估,特别是在固件层面:
-
固件扫描:ONEKEY 可以对IoT设备固件进行深入扫描,检测其中可能存在的漏洞、未打补丁的漏洞以及默认配置问题,及时发现潜在风险。
-
实时漏洞识别与补丁管理:ONEKEY 能够扫描所有 IoT 设备中的软件组件及其依赖关系(如 SBOM),及时发现并标记出潜在的漏洞与过时的组件,提供针对性的补丁建议。