Deep#Door: Backdoor Python avansat și hoț de credențiale

Securitate / Leave a Comment
Spread the love

Ce este Deep#Door

Deep#Door este un backdoor avansat scris în Python, identificat recent de cercetătorii Securonix. Malware-ul combină funcții de furt de credențiale, supraveghere, execuție de comenzi la distanță și tehnici sofisticate de anti-detectare, fiind distribuit printr-un fișier batch puternic obfuscat.

Scopul principal: obținerea accesului persistent și neobservat în sistemele compromise.

Cum se propagă Deep#Door

Atacul începe cu rularea unui fișier batch (install_obf.bat) care:

  • dezactivează componente critice de securitate Windows (Defender, firewall, logging);
  • extrage payload-ul Python direct din propriul fișier, folosind PowerShell și regex;
  • instalează mecanisme multiple de persistență:
    • shortcut VBS în Startup;
    • chei Run în registry;
    • scheduled tasks;
    • opțional, WMI event subscriptions.

Această abordare permite malware-ului să se reinstaleze automat dacă fișierele sunt șterse.

Tehnici de evitare a detecției

Deep#Door include un arsenal complet de mecanisme anti-analiză:

Detectarea mediilor de analiză

  • verifică drivere, MAC-uri, CPUID, resurse hardware;
  • identifică sandbox-uri și VM-uri.

Patching în memorie

  • ocolire AMSI;
  • patching ETW;
  • unhooking pentru funcții ntdll;
  • ștergerea logurilor și oprirea serviciilor de audit.

Camuflare

  • modificarea timestamp-urilor;
  • ascunderea proceselor;
  • comportament adaptiv în funcție de mediu.

Comunicare C2 prin bore.pub

Un element neobișnuit este folosirea bore.pub, un serviciu public de tunelare TCP, pentru a evita infrastructura C2 tradițională.

Caracteristici:

  • configurare C2 ascunsă prin Base64 + XOR;
  • porturi generate dinamic (interval 41234–41243);
  • scanare continuă pentru identificarea tunelului activ;
  • autentificare challenge–response bazată pe SHA256.

Această metodă face detecția rețelei mult mai dificilă.

Capabilitățile implantului Python (svc.py)

1. Supraveghere

  • keylogging;
  • monitorizare clipboard;
  • capturi de ecran;
  • acces la webcam și microfon.

2. Furt de credențiale

  • parole din browsere (Chrome, Edge, Firefox);
  • SSH keys;
  • token-uri cloud (AWS, Azure, GCP);
  • date din Windows Credential Manager.

3. Control la distanță

  • execuție comenzi shell;
  • upload/download fișiere;
  • mișcare laterală;
  • reverse shell;
  • recon avansat.

4. Funcții distructive

  • suprascriere MBR;
  • declanșare BSOD;
  • fork bomb;
  • dezactivare agresivă Defender.

Recomandări pentru protecție

Cercetătorii recomandă:

  • monitorizarea scripturilor batch obfuscate și a mecanismelor de auto-extracție;
  • activarea logging-ului PowerShell;
  • supravegherea modificărilor la Defender, firewall și event logs;
  • verificarea persistenței în Startup, Run keys și WMI;
  • detectarea conexiunilor către bore.pub și porturile asociate.

Concluzie

Deep#Door reprezintă un exemplu clar al evoluției malware-ului Python: modular, stealth, cu persistență multi-strat și tehnici avansate de evitare a detecției. Folosirea unui serviciu public de tunelare pentru C2 îl face și mai greu de identificat în rețele enterprise.

Organizațiile trebuie să își consolideze monitorizarea scripturilor, a mecanismelor de persistență și a traficului neobișnuit pentru a preveni compromiterea.

Sursa: Securonix

Must Read

Leave a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Scroll to Top