ShadowV2与AWS：云原生DDoS租赁攻击的崛起

网络犯罪不断发展，恶意行为者采用云原生技术来扩大其业务范围和复杂性。

2025年9月，Darktrace的研究人员报告了ShadowV2，这是一个利用亚马逊网络服务（AWS）上配置错误的Docker容器来提供分布式拒绝服务（DDoS）攻击的租赁服务的僵尸网络。

与传统僵尸网络不同，ShadowV2集成了现代开发框架、容器化和模块化命令结构，使其成为一个更高级的网络犯罪即服务平台。

攻击架构概述

ShadowV2活动的核心是一个基于Python的命令与控制（C2）框架，托管在GitHub Codespaces上。

Darktrace研究人员发现，该恶意软件通过一个基于Python的模块传播，该模块扫描暴露的Docker守护进程，特别是在AWS弹性计算云（EC2）实例上。

攻击者不是部署预构建的镜像，而是首先启动一个通用的Ubuntu容器，安装工具，然后在受害系统上直接构建自定义镜像。这种不寻常的方法可能是为了减少在受感染机器上留下的取证痕迹。

最终的有效载荷是一个基于Go的远程访问木马（RAT），在容器内执行。该二进制文件通过HTTP与其C2基础设施——shadow.aurozacloud[.]xyz——通信，发送心跳消息并轮询新命令。每个受感染的实例都有唯一标识，确保即使在重新感染或系统重启后也能保持持久性。

ShadowV2的独特之处在于其复杂的攻击工具包。该僵尸网络可以进行大规模的HTTP洪水攻击、HTTP/2快速重置攻击，甚至尝试使用捆绑的ChromeDP工具来解决JavaScript挑战，以绕过Cloudflare的“Under Attack Mode”（UAM）。

尽管由于无头浏览器检测，这种UAM绕过不太可能持续成功，但其包含反映了对分层规避技术的日益重视。

HTTP/2快速重置功能尤其令人担忧。通过在同一连接上发送和取消数千个HTTP请求，恶意软件最大限度地消耗服务器资源，从而实现高效的拒绝服务条件。这种方法突显了攻击者利用合法协议实现放大效应的趋势。

ShadowV2似乎作为一个结构化的“DDoS租赁”平台运行。

C2基础设施集成了FastAPI和Pydantic框架，支持登录面板，并为操作者暴露多个API端点。这些端点允许创建和管理用户、配置攻击类型以及阻止受保护站点。

该界面类似于合法的云应用程序，提供模块化功能和用户友好的管理工具。这反映了更广泛的网络犯罪即服务趋势，即威胁行为者开发可扩展的平台，供技术专业知识有限的客户租用。因此，ShadowV2不仅是一个僵尸网络，更是一个不断发展的DDoS能力市场。

ShadowV2的披露与全球大规模DDoS活动的激增同时发生。Cloudflare最近报告自动缓解了一次创纪录的攻击，该攻击峰值达到22.2 Tbps和1060万pps，仅持续40秒。

ShadowV2的出现强调了防御者需要调整策略以应对云原生攻击面。

组织必须监控容器编排环境，对Docker API实施严格的访问控制，并实施持续的行为分析以检测异常活动。

此外，安全团队必须将像ShadowV2这样的僵尸网络不仅视为恶意软件，而且视为能够与合法软件服务一样灵活扩展和演进的平台。

有效的防御需要跨工作负载的可见性、及时修补暴露的服务以及监控API活动以防滥用。组织可以通过使用有助于监控容器工作负载并实施最佳实践的AWS安全工具来降低这种风险。

完全开发的操作界面的存在突显了网络犯罪基础设施如何日益镜像企业级软件，进一步模糊了合法云实践与恶意利用之间的界限。

ShadowV2代表了DDoS即服务操作商业化的重大进步。通过集成基于Python和Go的模块、容器化部署策略和API驱动的操作界面，它展示了威胁行为者如何将云原生技术用于犯罪目的。