關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2025.09.24
事件與威脅/雲端安全
ShadowV2 殭屍網路利用配置錯誤的 AWS Docker 容器進行 DDoS 租賃服務
報導摘要

近期,一個名為 ShadowV2 的新型殭屍網路引起了資安界的廣泛關注。該殭屍網路由資安公司 Darktrace 揭露,其攻擊模式獨特且精密,主要鎖定亞馬遜網路服務(AWS)上因配置不當而暴露於網路的 Docker 容器。攻擊者利用這些安全漏洞,部署惡意程式,將受感染的伺服器納入其龐大的分散式阻斷服務(DDoS)殭屍網路中。

值得注意的是,ShadowV2 不僅僅是一個傳統的殭屍網路,其背後的運營者更將其打造成一個「DDoS 即服務」(DDoS-as-a-Service)的商業模式。他們建立了一個基於 Python 的命令與控制(C2)框架,讓客戶可以租用這些被感染的節點來發動自己的 DDoS 攻擊,這種服務化、平台化的運作方式,使其成為一種新型態的資安威脅。


技術特徵與攻擊手法

ShadowV2 殭屍網路的技術複雜性超越了許多傳統惡意軟體。其感染鏈始於一個託管在 GitHub Codespaces 上的 Python 腳本,該腳本專門用於與 Docker 守護程序互動,並在受害者的雲端實例上部署惡意程式。

與過去利用 Docker Hub 映像檔或自備映像檔的攻擊不同,ShadowV2 採取了更具欺騙性的方法。它首先從一個通用的 Ubuntu 映像檔中建立一個臨時的「設定」容器,然後在這個臨時容器內部安裝並設定各種惡意工具。完成後,它會將這個客製化的容器重新打包成新的映像檔,並將其部署為一個運行的容器。這個運作過程巧妙地隱藏了惡意行為,增加了檢測的難度。

在新的容器中,一個基於 Go 語言的 ELF 二進位檔被執行,這就是遠端存取木馬(RAT)的核心部分。這個 RAT 負責與位於 shadow.aurozacloud[.]xyz 的 C2 伺服器進行通訊,定期發送心跳訊息並輪詢新命令。其功能包括但不限於執行遠端命令、啟動 DDoS 攻擊、並在受感染系統上進行偵察,例如檢查是否存在 tcpdumpWireshark 等網路工具,以及 VMwareQEMU 等虛擬化框架。


平台化的DDoS服務模式

Darktrace 的分析顯示,ShadowV2 擁有一個包含使用者認證、不同帳號權限等級以及攻擊類型限制的使用者介面 (UI) 和應用程式介面 (API)。這種設計讓資安研究人員相信,ShadowV2 是一個「DDoS 即服務」平台,而非單純的殭屍網路。

這種模式打破了傳統殭屍網路由營運者單獨發動攻擊的模式,而是讓客戶能夠租用受感染的網路,自行發動 DDoS 攻擊。這種服務化和平台化的設計,使得資安防禦的重點必須從單純的主機行為指標,轉向對「控制平面行為」的監控,例如異常的 Docker API 呼叫、腳本化的容器生命週期事件,以及來自臨時節點的重複出站流量。這對企業的雲端安全監控提出了新的挑戰。


應對與防禦建議

面對 ShadowV2 這樣的精密威脅,企業必須重新審視其雲端安全策略,特別是針對 Docker 環境的配置管理。以下是一些重要的防禦措施:

  1. 強化 Docker 配置: 確保 Docker 守護程序未經授權暴露於公共網路。遵循最小權限原則,嚴格控制對 Docker API 的訪問,並使用防火牆或其他安全組來限制流量。

  2. 實施持續監控: 部署能夠監控 Docker 容器和雲端環境中異常行為的工具。注意那些不尋常的容器創建、映像檔構建以及來自臨時節點的出站流量模式。

  3. 漏洞管理與補丁: 定期審查和修補 Docker 及其相關組件的已知漏洞,以防止攻擊者利用這些弱點進行初始入侵。

  4. 行為分析: 採用基於人工智慧和機器學習的行為分析工具,這些工具能夠識別 ShadowV2 惡意軟體所使用的複雜攻擊模式,並在攻擊發生之前或初期階段發出警報。

  5. 提高員工安全意識: 透過培訓,讓開發和運維人員理解安全配置的重要性,並遵循最佳實踐,避免因人為疏忽導致配置錯誤。


總結

據 Darktrace 稱, ShadowV2殭屍網路主要針對亞馬遜網路服務 (AWS) 雲端伺服器上配置錯誤的 Docker 容器,部署基於 Go 的惡意軟體,將受感染的系統轉變為攻擊節點,並將其納入更大的 DDoS 殭屍網路。

安全研究員 Nathaniel Bill在與 The Hacker News 分享的一份報告中表示: “此次活動的核心是一個託管在 GitHub Codespaces 上的基於 Python 的命令與控制 (C2) 框架。”這次攻擊活動以整合基於 Python 的傳播器模組來攻擊 Docker 守護程序(主要在 AWS EC2 上運行的守護程序)而引人注目,而基於 Go 的遠端存取木馬 (RAT) 則允許使用 HTTP 協定執行命令並與其操作員進行通訊。

ShadowV2 被其作者描述為「高級攻擊平台」。

ShadowV2 殭屍網路的出現標誌著網路威脅的演進,攻擊者正將傳統惡意軟體的運作與現代雲端原生技術和服務化模式相結合。企業和組織必須保持警惕,並採取主動的防禦策略,不僅要修補技術漏洞,更要從整體架構和行為模式上來應對這些日益複雜的資安挑戰,才能有效保護其雲端資產與業務運作的連續性。


資料來源:https://thehackernews.com/2025/09/shadowv2-botnet-exploits-misconfigured.html
 
根據資安公司 Darktrace 的最新發現,詳細介紹名為 ShadowV2 的新興殭屍網路及其運作模式。該殭屍網路主要針對亞馬遜網路服務 (AWS) 上配置錯誤的 Docker 容器,部署 Go 語言惡意軟體,將受感染系統轉化為 DDoS 攻擊節點。