Deep#Door Stealer: Heimlicher Python-Backdoor und Anmeldeinformations-Dieb, der Tunneling, mehrschichtige Persistenz und In-Memory-Überwachungsfähigkeiten nutzt
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht untersucht Deep#Door, eine heimliche, auf Python basierende Backdoor, die über einen verschleierten Batch-Loader geliefert wird, der seine bösartige Nutzlast zur Laufzeit einbettet und rekonstruiert. Die Malware nutzt einen öffentlichen TCP-Tunneldienst für die Steuerungs- und Kontrollkommunikation, richtet mehrere Persistenzmechanismen ein, schwächt Windows-Sicherheitskontrollen und unterstützt umfassende Überwachungs- und Anmeldeinformationsdiebstahlaktivitäten. Außerdem führt sie detaillierte Umweltüberprüfungen durch, um Sandboxes und Analysten zu entgehen, während sie sich auf API-Patching im Arbeitsspeicher verlässt, um während der Ausführung verborgen zu bleiben.
Untersuchung
Securonix Forscher kartierten die gesamte Infektionskette vom initialen Batch-Skript bis zur Nutzlast-Extraktion, Rekonstruktion und Ausführung des finalen Python RAT. Ihre Analyse identifizierte den Missbrauch von bore.pub zum Tunneln, dynamisch generierte Ports und eine benutzerdefinierte Authentifizierungssequenz, die für den Betreiberzugang verwendet wird. Der Bericht enthielt auch eine detaillierte Beschreibung der Methoden zur Umgehung von Verteidigungsmaßnahmen, Persistenztechniken, Systementsdeckungsroutinen und dem Verhalten der Datenexfiltration.
Abmilderung
Verteidiger sollten die Skriptausführung genau überwachen, PowerShell-Protokollierung aktivieren, unerlaubte Änderungen an Microsoft Defender und Firewall-Einstellungen erkennen und Start-Einträge, Run-Schlüssel und zugehörige Persistenzorte überprüfen. Die Netzwerküberwachung sollte sich auch auf ausgehende Verbindungen zu bore.pub und ungewöhnliche Aktivitäten auf hohen Ports konzentrieren. EDR-Tools, die in der Lage sind, API-Patching und Manipulation im Arbeitsspeicher zu erkennen, können die Sichtbarkeit dieser Bedrohung weiter verbessern.
Reaktion
Wenn Deep#Door Aktivität erkannt wird, sollte der betroffene Endpunkt sofort isoliert, der bösartige Python-Prozess beendet, alle Persistenzmechanismen einschließlich Startskripten, Run-Schlüsseln und WMI-Abonnements entfernt und modifizierte Defender- und Protokollierungseinstellungen wiederhergestellt werden. Sicherheitsteams sollten auch eine Speicher- und forensische Analyse durchführen, um versteckte Implantate zu identifizieren und das Ausmaß des Anmeldedaten-Diebstahls zu bewerten, während die Netzwerkkommunikation zu bore.pub.
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansicht
Verdächtige PowerShell-Strings (über cmdline)
Ansicht
Verdächtige .NET-Klassen/Methoden-Aufrufe von PowerShell-Befehlszeile (über process_creation)
Ansicht
Mögliche Remote-Systementdeckung oder Verbindungs-Check (über cmdline)
Ansicht
Mögliche Konto- oder Gruppenauflistung/-manipulation (über cmdline)
Ansicht
Mögliche Nutzung von Timeout zur verzögerten Ausführung (über cmdline)
Ansicht
LOLBAS WScript / CScript (über process_creation)
Ansicht
Echtzeit-Überwachung von Windows Defender deaktivieren und andere Einstellungen ändern (über cmdline)
Ansicht
Verdächtige PowerShell-Strings (über powershell)
Ansicht
Verdächtige Änderungen an den Windows Defender-Einstellungen (über powershell)
Ansicht
Verdächtige Binärdateien/Skripte im Autostart-Ort (über file_event)
Ansicht
IOCs (HashSha256) zur Erkennung: Deep#Door Stealer: Heimliche Python-Backdoor und Anmeldeinformations-Hacker, der Tunneling, mehrschichtige Persistenz und Überwachungsfähigkeiten im Arbeitsspeicher nutzt
Ansicht
Erkennung von C2-Kommunikation über öffentlichen TCP-Tunneldienst [Windows-Netzwerkverbindung]
Ansicht
PowerShell-Befehl zur Extraktion der eingebetteten Python-Nutzlast [Windows PowerShell]
Ansicht
Erkennung der Bereitstellung der heimlichen Python-Backdoor Deep#Door [Windows-Prozesserstellung]
Ansicht
Erkennung des Einsatzes des TCP-Tunnelingdienstes bore.pub für C2-Kommunikation [Windows-Netzwerkverbindung]
Ansicht
Echtzeit- und Verhaltensüberwachung von Windows Defender deaktiviert [Windows PowerShell]
Ansicht
Ausführung des verschleierten Batch-Skripts Deep#Door [Windows-Prozesserstellung]
Ansicht
PowerShell-Befehl zur Deaktivierung von Windows Defender-Funktionen [Windows PowerShell]
Ansicht
Erkennung der Ausführung der heimlichen Python-Backdoor Deep#Door [Windows-Prozesserstellung]
Ansicht
Erkennung der heimlichen C2-Kommunikation über bore.pub [Windows-Netzwerkverbindung]
Ansicht
Erkennung des Deep#Door-Stealers unter Verwendung von PowerShell und Firewall-Manipulation [Windows PowerShell]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflugtest muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die zur Auslösung der Erkennungsregel ausgelegt ist. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Erzählung & Befehle:
Ein Angreifer, der auf dem Windows-Host mit niedrigen Privilegien Fuß gefasst hat, möchte einen heimlichen C2-Kanal über die öffentlich bekannte
bore.pubvom Deep#Door genutzte Tunneldienst einrichten. Um sich mit legitimen Datenverkehr zu vermischen, wählt der Angreifer einen Port aus dem Bereich 41.234-41.243 (vom Malware ausgewählt) und verwendet PowerShell’sSystem.Net.Sockets.TcpClientKlasse, um eine rohe TCP-Verbindung zu öffnen. Die Verbindung wird für kurze Zeit im Leerlauf gehalten, um einen Herzschlag zu simulieren, bevor ein kleines base-64-codiertes Beacon übertragen wird. -
Regressionstest-Skript:
# Simuliere Deep#Door C2-Beacon zu bore.pub auf einem zufälligen Port innerhalb des überwachten Bereichs $domain = 'bore.pub' $port = Get-Random -Minimum 41234 -Maximum 41244 # Obergrenze ist exklusiv try { Write-Host "Verbindung zu $domain:$port wird aufgebaut ..." $client = New-Object System.Net.Sockets.TcpClient $client.Connect($domain, $port) $stream = $client.GetStream() # Minimaler Beacon-Nutzlast (z.B., ein base64-codiertes "ping") $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0') $stream.Write($payload,0,$payload.Length) Write-Host "Beacon gesendet. Verbindung wird für 5 Sekunden gehalten..." Start-Sleep -Seconds 5 } catch { Write-Error "Verbindung fehlgeschlagen: $_" } finally { if ($stream) { $stream.Close() } if ($client) { $client.Close() } Write-Host "Verbindung geschlossen." } -
Aufräum-Befehle:
# Keine persistierenden Artefakte; sicherstellen, dass keine verbleibenden TCP-Verbindungen bestehen Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } Write-Host "Aufräumen abgeschlossen."
Ende des Berichts