一、事件概述

最近，安全圈爆出一起嚴(yán)重威脅：一種名為 ShadowV2 的新型僵尸網(wǎng)絡(luò)／惡意軟件正被黑客用于利用物聯(lián)網(wǎng)（IoT）設(shè)備漏洞進(jìn)行大規(guī)模攻擊。

ShadowV2 于 2025年10月底首次被發(fā)現(xiàn)，與當(dāng)時(shí)一次全球范圍的 Amazon Web Services (AWS) 中斷事件時(shí)間吻合。黑客似乎借這次混亂測試其基礎(chǔ)設(shè)施。

惡意攻擊通過 IoT 設(shè)備發(fā)起，形成“僵尸網(wǎng)絡(luò) (botnet)”，以發(fā)動(dòng)大規(guī)模分布式拒絕服務(wù)攻擊 (DDoS) 為主要目的。被攻擊設(shè)備分布廣泛，包括家用/辦公路由器、 DVR、NAS 等，影響科技、教育、零售、制造、通信等多個(gè)行業(yè)。地域從美洲、歐洲擴(kuò)展至亞洲、非洲等，受害范圍覆蓋全球。

二、攻擊技術(shù)與機(jī)制

ShadowV2 基于 Mirai，但在結(jié)構(gòu)和混淆技術(shù)上做了顯著優(yōu)化。它會(huì)先下載一個(gè)名為 binary.sh 的腳本，該腳本可針對(duì)設(shè)備架構(gòu) (ARM / MIPS / x86) 拉取對(duì)應(yīng) payload 并執(zhí)行。配置文件采用簡單 XOR 異或 (key = 0x22) 加密，以隱藏真實(shí)命令與參數(shù)。此外，ShadowV2 利用了多項(xiàng)已知漏洞 (CVE)，包括但不限于：

DDWRT: CVE?2009?2765 (HTTP Daemon 任意命令執(zhí)行)

D?Link: CVE?2020?25506, CVE?2022?37055, CVE?2024?10914, CVE?2024?10915

DigiEver: CVE?2023?52163

TBK (某 DVR 廠商): CVE?2024?3721

TP?Link: CVE?2024?53375

一旦激活，僵尸網(wǎng)絡(luò)會(huì)向 C2 (command?and-control) 服務(wù)器登記并等待指令，可執(zhí)行多種 DDoS 攻擊方法 (UDP flood, TCP SYN flood, HTTP flood 等)，迅速發(fā)動(dòng)對(duì)目標(biāo)的大流量攻擊。

三、應(yīng)對(duì)建議

為了避免此類攻擊，組織需要做：

立即審視與排查 IoT 資產(chǎn)清單：組織內(nèi)所有聯(lián)網(wǎng)設(shè)備（路由器、攝像頭、DVR、NAS、智能設(shè)備等）應(yīng)列入資產(chǎn)清單，并對(duì)其固件版本、默認(rèn)配置進(jìn)行評(píng)估。

及時(shí)打補(bǔ)丁、升級(jí)固件：對(duì)公開已知漏洞 (上述 CVE) 的設(shè)備，若廠商已有補(bǔ)丁，應(yīng)盡快應(yīng)用；若廠商已停止支持，應(yīng)考慮替換設(shè)備。

關(guān)閉不必要的遠(yuǎn)程管理接口 / 默認(rèn)帳號(hào)登錄：禁用 Telnet、默認(rèn)帳號(hào)、默認(rèn)密碼，改用強(qiáng)密碼并限制遠(yuǎn)程訪問權(quán)限。

四、艾體寶解決方案

艾體寶ONEKEY 解決方案通過自動(dòng)化安全合規(guī)檢測，為客戶提供全面的設(shè)備合規(guī)和安全性評(píng)估，特別是在固件層面：

固件掃描：ONEKEY 可以對(duì)IoT設(shè)備固件進(jìn)行深入掃描，檢測其中可能存在的漏洞、未打補(bǔ)丁的漏洞以及默認(rèn)配置問題，及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。

實(shí)時(shí)漏洞識(shí)別與補(bǔ)丁管理：ONEKEY 能夠掃描所有 IoT 設(shè)備中的軟件組件及其依賴關(guān)系（如 SBOM），及時(shí)發(fā)現(xiàn)并標(biāo)記出潛在的漏洞與過時(shí)的組件，提供針對(duì)性的補(bǔ)丁建議。

審核編輯 黃宇