Deep#Door backdoor
A Securonix a Deep#Door egy Python-alapú, többkomponensű backdoor keretrendszer, amely perzisztens hozzáférés és széles körű adatlopás biztosítására készült, és működésében inkább teljes értékű RAT-ként viselkedik, mint klasszikus stealerként.
A fertőzési lánc egy erősen obfuszkált batch loaderrel indul, amely végrehajtáskor letilt bizonyos Windows védelmi mechanizmusokat, majd egy beágyazott Python payloadot rekonstruál és futtat. A malware sajátossága, hogy a payload nem külső forrásból töltődik le, hanem a dropperen belül található, ami csökkenti a hálózati detekció esélyét és a forenzikai nyomokat.
A perzisztencia több rétegben valósul meg, beleértve registry kulcsokat, startup scriptet, ütemezett feladatokat és WMI-alapú mechanizmusokat, valamint watchdog logikát, amely automatikusan visszaállítja az eltávolított komponenseket. Ez biztosítja a hosszú távú jelenlétet kompromittált rendszereken.
A kommunikáció nem klasszikus dedikált C2 infrastruktúrán keresztül történik, hanem egy publikus tunneling szolgáltatás használatával, amely elrejti a támadói végpontot és legitim forgalomként jelenik meg.
Funkcionálisan a Deep#Door teljes körű hozzáférést biztosít a támadónak: távoli parancsvégrehajtás, rendszerfelderítés és kiterjedt adatgyűjtés valósítható meg, beleértve billentyűnaplózást, képernyőkép-készítést, mikrofon és kamera elérését, valamint böngésző-, SSH- és felhő-credentialek exfiltrációját.
A malware jelentős hangsúlyt fektet az észlelés elkerülésére. Többek között sandbox- és VM-detekciót, AMSI és ETW megkerülést, Defender-manipulációt és log-törlést alkalmaz, ami jelentősen nehezíti az incidensfelderítést és a forenzikai elemzést.
