一、事件概述

最近，安全圈爆出一起嚴重威脅：一種名為 ShadowV2 的新型僵尸網絡／惡意軟件正被黑客用于利用物聯網（IoT）設備漏洞進行大規模攻擊。

ShadowV2 于 2025年10月底首次被發現，與當時一次全球范圍的 Amazon Web Services (AWS) 中斷事件時間吻合。黑客似乎借這次混亂測試其基礎設施。

惡意攻擊通過 IoT 設備發起，形成“僵尸網絡 (botnet)”，以發動大規模分布式拒絕服務攻擊 (DDoS) 為主要目的。被攻擊設備分布廣泛，包括家用/辦公路由器、 DVR、NAS 等，影響科技、教育、零售、制造、通信等多個行業。地域從美洲、歐洲擴展至亞洲、非洲等，受害范圍覆蓋全球。

二、攻擊技術與機制

ShadowV2 基于 Mirai，但在結構和混淆技術上做了顯著優化。它會先下載一個名為 binary.sh 的腳本，該腳本可針對設備架構 (ARM / MIPS / x86) 拉取對應 payload 并執行。配置文件采用簡單 XOR 異或 (key = 0x22) 加密，以隱藏真實命令與參數。此外，ShadowV2 利用了多項已知漏洞 (CVE)，包括但不限于：

DDWRT: CVE?2009?2765 (HTTP Daemon 任意命令執行)

D?Link: CVE?2020?25506, CVE?2022?37055, CVE?2024?10914, CVE?2024?10915

DigiEver: CVE?2023?52163

TBK (某 DVR 廠商): CVE?2024?3721

TP?Link: CVE?2024?53375

一旦激活，僵尸網絡會向 C2 (command?and-control) 服務器登記并等待指令，可執行多種 DDoS 攻擊方法 (UDP flood, TCP SYN flood, HTTP flood 等)，迅速發動對目標的大流量攻擊。

三、應對建議

為了避免此類攻擊，組織需要做：

立即審視與排查 IoT 資產清單：組織內所有聯網設備（路由器、攝像頭、DVR、NAS、智能設備等）應列入資產清單，并對其固件版本、默認配置進行評估。

及時打補丁、升級固件：對公開已知漏洞 (上述 CVE) 的設備，若廠商已有補丁，應盡快應用；若廠商已停止支持，應考慮替換設備。

關閉不必要的遠程管理接口 / 默認帳號登錄：禁用 Telnet、默認帳號、默認密碼，改用強密碼并限制遠程訪問權限。

四、艾體寶解決方案

艾體寶ONEKEY 解決方案通過自動化安全合規檢測，為客戶提供全面的設備合規和安全性評估，特別是在固件層面：

固件掃描：ONEKEY 可以對IoT設備固件進行深入掃描，檢測其中可能存在的漏洞、未打補丁的漏洞以及默認配置問題，及時發現潛在風險。

實時漏洞識別與補丁管理：ONEKEY 能夠掃描所有 IoT 設備中的軟件組件及其依賴關系（如 SBOM），及時發現并標記出潛在的漏洞與過時的組件，提供針對性的補丁建議。

審核編輯 黃宇