详细内容或原文请订阅后点击阅览
新的 Deep#Door RAT 利用隐秘性和持久性来攻击 Windows
Deep#Door 将 Python RAT 隐藏在批处理文件中,杀死 Windows 防御,通过多种持久性方法生存,并通过公共 TCP 隧道泄露数据。 Securonix 的安全研究人员发现了一种名为 Deep#Door 的复杂恶意软件活动。威胁行为者采用了基于 Python 的隐秘后门,该后门使用极其简单的交付方法来实现深度、持久访问 [...]
来源:Security Affairs _恶意软件新的 Deep#Door RAT 利用隐秘性和持久性来攻击 Windows
Deep#Door 将 Python RAT 隐藏在批处理文件中,杀死 Windows 防御,通过多种持久性方法生存,并通过公共 TCP 隧道泄露数据。
Securonix 的安全研究人员发现了一种名为 Deep#Door 的复杂恶意软件活动。威胁行为者采用了基于 Python 的隐秘后门,该后门使用极其简单的交付方法来实现对 Windows 系统的深度、持久访问。该活动之所以脱颖而出,不仅在于它能做什么,还在于它如何巧妙地避免被发现。
“与依赖外部负载下载的传统恶意软件加载程序不同,Deep#Door 将其 Python 植入程序直接嵌入到 dropper 脚本中,并在执行过程中在内存和磁盘上重建它。”阅读 Securonix 发布的报告。 “然后,植入程序与 bore[.]pub 上托管的攻击者基础设施建立通信,bore[.]pub 是一种公开的 TCP 隧道服务,可以在不暴露专用 C2 服务器的情况下实现隐秘的远程访问。”
攻击链以单个批处理文件开始:install_obf.bat。执行时,该脚本会读取自身,逐字解析其自身内容,以提取直接嵌入脚本内的隐藏 Python 有效负载。然后,提取的文件 svc.py 会悄悄写入%LOCALAPPDATA%\SystemServices\,这是一个故意选择的文件夹名称,用于与合法的 Windows 组件混合在一起。
这种自引用技术是恶意软件难以及早发现的关键原因。没有可疑的下载,在暂存阶段没有联系外部 URL,也没有要标记的已编译的可执行文件。这一切都发生在一个脚本中,乍一看就像一个日常维护工具。
实际上,这意味着仅仅删除一个工件并不能清除感染。所有机制都需要同时解决,这使得手动修复异常困难。