一、事件概述

最近，安全圈爆出一起嚴重威脅：一種名為 ShadowV2 的新型僵尸網(wǎng)絡(luò)／惡意軟件正被黑客用于利用物聯(lián)網(wǎng)（IoT）設(shè)備漏洞進行大規(guī)模攻擊。

ShadowV2 于 2025年10月底首次被發(fā)現(xiàn)，與當時一次全球范圍的 Amazon Web Services (AWS) 中斷事件時間吻合。黑客似乎借這次混亂測試其基礎(chǔ)設(shè)施。

惡意攻擊通過 IoT 設(shè)備發(fā)起，形成“僵尸網(wǎng)絡(luò) (botnet)”，以發(fā)動大規(guī)模分布式拒絕服務攻擊 (DDoS) 為主要目的。被攻擊設(shè)備分布廣泛，包括家用/辦公路由器、 DVR、NAS 等，影響科技、教育、零售、制造、通信等多個行業(yè)。地域從美洲、歐洲擴展至亞洲、非洲等，受害范圍覆蓋全球。

二、攻擊技術(shù)與機制

ShadowV2 基于 Mirai，但在結(jié)構(gòu)和混淆技術(shù)上做了顯著優(yōu)化。它會先下載一個名為 binary.sh 的腳本，該腳本可針對設(shè)備架構(gòu) (ARM / MIPS / x86) 拉取對應 payload 并執(zhí)行。配置文件采用簡單 XOR 異或 (key = 0x22) 加密，以隱藏真實命令與參數(shù)。此外，ShadowV2 利用了多項已知漏洞 (CVE)，包括但不限于：

DDWRT: CVE?2009?2765 (HTTP Daemon 任意命令執(zhí)行)

D?Link: CVE?2020?25506, CVE?2022?37055, CVE?2024?10914, CVE?2024?10915

DigiEver: CVE?2023?52163

TBK (某 DVR 廠商): CVE?2024?3721

TP?Link: CVE?2024?53375

一旦激活，僵尸網(wǎng)絡(luò)會向 C2 (command?and-control) 服務器登記并等待指令，可執(zhí)行多種 DDoS 攻擊方法 (UDP flood, TCP SYN flood, HTTP flood 等)，迅速發(fā)動對目標的大流量攻擊。

三、應對建議

為了避免此類攻擊，組織需要做：

立即審視與排查 IoT 資產(chǎn)清單：組織內(nèi)所有聯(lián)網(wǎng)設(shè)備（路由器、攝像頭、DVR、NAS、智能設(shè)備等）應列入資產(chǎn)清單，并對其固件版本、默認配置進行評估。

及時打補丁、升級固件：對公開已知漏洞 (上述 CVE) 的設(shè)備，若廠商已有補丁，應盡快應用；若廠商已停止支持，應考慮替換設(shè)備。

關(guān)閉不必要的遠程管理接口 / 默認帳號登錄：禁用 Telnet、默認帳號、默認密碼，改用強密碼并限制遠程訪問權(quán)限。

四、艾體寶解決方案

艾體寶ONEKEY 解決方案通過自動化安全合規(guī)檢測，為客戶提供全面的設(shè)備合規(guī)和安全性評估，特別是在固件層面：

固件掃描：ONEKEY 可以對IoT設(shè)備固件進行深入掃描，檢測其中可能存在的漏洞、未打補丁的漏洞以及默認配置問題，及時發(fā)現(xiàn)潛在風險。

實時漏洞識別與補丁管理：ONEKEY 能夠掃描所有 IoT 設(shè)備中的軟件組件及其依賴關(guān)系（如 SBOM），及時發(fā)現(xiàn)并標記出潛在的漏洞與過時的組件，提供針對性的補丁建議。

審核編輯 黃宇