ShadowV2与AWS：云原生DDoS租赁攻击的崛起

网络犯罪持续演进，恶意行为者采用云原生技术来扩大其攻击范围和复杂程度。

2025年9月，Darktrace的研究人员报告了ShadowV2僵尸网络，该网络利用亚马逊云服务（AWS）上配置错误的Docker容器，提供分布式拒绝服务（DDoS）攻击租赁服务。

与传统僵尸网络不同，ShadowV2集成了现代开发框架、容器化和模块化命令结构，使其成为更先进的网络犯罪即服务平台。

攻击架构概述

ShadowV2活动的核心是一个基于Python的命令与控制（C2）框架，托管在GitHub Codespaces上。

Darktrace研究人员发现，该恶意软件通过基于Python的模块传播，该模块扫描暴露的Docker守护进程，特别是在AWS弹性计算云（EC2）实例上。

攻击者不是部署预构建的镜像，而是首先启动一个通用的Ubuntu容器，安装工具，然后在受害系统上直接构建自定义镜像。这种不寻常的方法可能是为了减少在受感染机器上留下的取证痕迹。

最终有效载荷是一个基于Go的远程访问木马（RAT），在容器内执行。该二进制文件通过HTTP与其C2基础设施——shadow.aurozacloud[.]xyz——通信，发送心跳消息并轮询新命令。每个受感染的实例都有唯一标识，确保即使在重新感染或系统重启后也能保持持久性。

ShadowV2的独特之处在于其复杂的攻击工具包。该僵尸网络能够执行大规模HTTP洪水攻击、HTTP/2快速重置攻击，甚至尝试使用捆绑的ChromeDP工具解决JavaScript挑战来绕过Cloudflare的“Under Attack Mode”（UAM）。

尽管由于无头浏览器检测，这种UAM绕过不太可能持续成功，但其包含反映了对分层规避技术的日益重视。

HTTP/2快速重置功能尤其令人担忧。通过在单个连接上发送和取消数千个HTTP请求，恶意软件最大限度地消耗服务器资源，实现高效的拒绝服务条件。这种方法突显了攻击者利用合法协议实现放大效应的趋势。

ShadowV2似乎作为一个结构化的“DDoS租赁”平台运行。

C2基础设施集成了FastAPI和Pydantic框架，支持登录面板，并为运营商暴露多个API端点。这些端点允许创建和管理用户、配置攻击类型以及设置受保护站点的阻止列表。

该界面类似于合法的云应用程序，提供模块化功能和用户友好的管理工具。这反映了更广泛的网络犯罪即服务趋势，威胁行为者开发可扩展的平台，可供技术专业知识有限的客户租用。因此，ShadowV2不仅是一个僵尸网络，更是一个不断发展的DDoS能力市场。

ShadowV2的披露恰逢全球大规模DDoS活动激增。Cloudflare最近报告自主缓解了一次破纪录的攻击，峰值达到每秒22.2太比特和每秒106亿个数据包，仅持续40秒。

ShadowV2的出现强调了防御者需要调整策略以应对云原生攻击面。

组织必须监控容器编排环境，对Docker API实施严格的访问控制，并实施连续的行为分析以检测异常活动。

此外，安全团队必须将像ShadowV2这样的僵尸网络不仅视为恶意软件，而是能够像合法软件服务一样灵活扩展和演进的平台。

有效的防御需要跨工作负载的可见性、及时修补暴露的服务以及监控API活动以防滥用。组织可以通过使用AWS安全工具来帮助监控容器工作负载并实施最佳实践，从而降低这种风险。

完全开发的运营商界面的存在突显了网络犯罪基础设施如何日益模仿企业级软件，进一步模糊了合法云实践与恶意利用之间的界限。

ShadowV2代表了DDoS即服务运营商业化的重大进展。通过集成基于Python和Go的模块、容器化部署策略和API驱动的运营商界面，它展示了威胁行为者如何将云原生技术用于犯罪目的。