Securonix 的研究人员最近发现了一个名为 Deep#Door 的复杂恶意软件活动。攻击者利用基于 Python 编写的隐蔽后门,通过一种看似简单却极具迷惑性的投递方式,实现了对 Windows 系统的深度持久化访问。该活动的突出特点不仅在于其全面的远程控制功能,更在于它精巧的规避检测机制。
Securonix 在其报告中指出:“与传统依赖外部载荷下载的恶意软件加载器不同,Deep#Door 将其 Python 植入程序直接嵌入到释放器脚本中,并在执行时于内存和磁盘中重建。随后植入程序会与托管在 bore.pub(一项公开的 TCP 隧道服务)上的攻击者基础设施建立通信,无需暴露专用 C2 服务器即可实现隐蔽远程访问。”
攻击技术细节
攻击链始于单个批处理文件 install_obf.bat。执行时,该脚本会读取自身内容,直接解析出隐藏在脚本中的 Python 载荷。提取出的 svc.py 文件会被静默写入 %LOCALAPPDATA%\SystemServices\ 目录,这个文件夹名称特意仿冒了合法的 Windows 组件。
这种自引用技术是该恶意软件难以被早期检测的关键原因:初始阶段没有可疑下载行为、不联系外部 URL、也没有可标记的编译可执行文件。所有操作都发生在一个看似常规维护工具的脚本内部。
加载器会首先系统性地破坏主机防御:禁用 Windows Defender、关闭 PowerShell 日志记录、抑制防火墙日志、绕过 SmartScreen。当 Python 植入程序激活时,系统已处于完全无防护状态。
报告补充道:“该恶意软件包含众多高级反分析和防御规避机制,包括沙箱检测、AMSI 和 ETW 补丁、ntdll 脱钩、篡改 Windows Defender、清除命令行记录、时间戳覆盖以及日志清除。”
持久化机制
Deep#Door 采用多管齐下的持久化策略:同时植入 Windows 启动文件夹、注册表 Run 键、计划任务甚至 WMI 事件订阅。此外,后台监视线程会持续检查这些持久化节点,自动恢复任何被删除的条目。这意味着仅清除单一组件无法彻底清除感染,必须同时处理所有机制,使得手动修复异常困难。
激活前,恶意软件会执行系列检查以确认运行环境是否为真实机器。它会检测调试器、虚拟机特征、沙箱指标(如通用用户名或低系统资源)乃至 Wireshark 或 IDA Pro 等安全研究工具。一旦发现可疑迹象即停止运行,有效规避自动化扫描平台的检测。
隐蔽通信技术
Deep#Door 采用非常规的 C2 通信方式:通过合法公共 TCP 隧道服务 bore.pub 建立连接,而非更易被检测拦截的专用攻击服务器。它会扫描动态端口范围寻找活动隧道,使用质询‑响应机制认证,建立看似普通隧道流量的隐蔽通道。
这种方案具有三重优势:
- 允许攻击者在不开放防火墙端口的情况下将内部服务暴露至互联网
- 消除对攻击者自有基础设施的依赖
- 使恶意流量与合法隧道使用混为一体
由于流量与同一服务的合法使用混杂,这显著增加了溯源难度并降低了基于网络的检测可靠性。
功能与防御建议
激活后的植入程序具备完整的远程访问功能:执行 shell 命令、截屏、录音、记录键盘输入、访问摄像头、窃取浏览器密码、SSH 密钥与云凭证、扫描内网。极端情况下还能覆写主引导记录或强制系统崩溃,表明其可根据需要从间谍活动转向破坏行动。
Securonix 建议将检测重点放在行为特征而非文件签名上:引用 %~f0(自文件标记)的 PowerShell 命令、向 SystemServices 目录的文件写入、修改 Defender 设置或事件日志服务、以及通向 bore.pub 端口 41234‑41243 的出站连接。
报告总结称:“Deep#Door 凸显了威胁行为者持续向 无文件、脚本驱动的入侵框架 演进,这类框架高度依赖原生系统组件和 Python 等解释型语言。通过将载荷直接嵌入释放器并在运行时提取,恶意软件大幅减少外部依赖并限制传统检测机会。使用公共隧道基础设施(bore.pub)进一步消除了对专用攻击服务器的需求,实现了与合法流量模式混为一体的隐蔽弹性 C2 通信。”
参考来源
New Deep#Door RAT uses stealth and persistence to target Windows
对恶意软件分析与逆向工程感兴趣?欢迎到云栈社区的安全与逆向板块深入探讨。
发表于 3 小时前
|
查看: 5|
回复: 0
