Securonix威胁研究团队在近期分析中发现,一款名为DEEP#DOOR的Python后门框架正在针对Windows用户发起攻击。它的特别之处在于:不依赖外部下载,单文件即可完成植入、持久化、凭证窃取的全流程。
一个批处理文件的" Trojan Horse "
攻击起点是一个名为"finallyJob.bat"的混淆批处理脚本。用户双击打开后,脚本会动态提取并运行内嵌的Python远程访问工具载荷(c.py)。
这种设计刻意避开了传统检测逻辑。多数安全工具监控的是网络层面的可疑下载行为,而DEEP#DOOR把完整后门直接打包在初始文件中,网络流量特征几乎为零。
植入完成后,恶意软件通过多种机制确保长期驻留:启动文件夹脚本、注册表Run键、计划任务,以及可选的WMI订阅。研究人员指出,这种多层持久化策略让清理工作变得异常繁琐。
正方观点:技术架构的"精巧"之处
从纯技术视角看,DEEP#DOOR展现了攻击者对产品化工具的打磨。
首先是防御规避的系统性。在部署Python后门之前,它会依次禁用SmartScreen、修补AMSI(反恶意软件扫描接口)和ETW(事件追踪),清除事件日志,并通过时间戳伪造隐藏活动痕迹。此外还集成了沙箱检测、API解钩、Windows Defender篡改和命令行剥离。
其次是通信架构的实用性。后门使用公开可用的TCP隧道服务与攻击者基础设施建立连接,远程操作者通过专用端口交互。这种设计降低了攻击者的基础设施成本,同时增加了流量溯源的难度。
功能模块的完整性也值得注意。激活后的后门支持:远程命令执行、键盘记录、摄像头拍照、麦克风录音、屏幕截图,以及凭证收割。研究人员将其归类为"功能完备的远程访问工具",具备长期驻留、横向移动和渗透后利用的全套能力。
反方观点:真正造成损害的并非技术复杂度
然而,技术社区的另一种声音认为,过度关注DEEP#DOOR的"先进性"是一种误导。
它的核心威胁模型并不新颖。浏览器密码窃取、云令牌抓取、SSH密钥收割——这些功能在信息窃取类恶意软件中早已泛滥。get_chrome_cred()和get_edge_cred()函数直接调用浏览器SQLite数据库提取登录数据,get_ssh_key()函数收割SSH密钥,都是教科书级别的实现。
真正的问题在于目标环境的脆弱性配置。批处理文件的执行依赖用户交互,这意味着初始入侵环节存在明显的人为因素。而后续的多层持久化之所以成功,往往是因为终端缺乏应用白名单、特权账户管控等基础防护措施。
此外,对公开TCP隧道服务的依赖既是优势也是软肋。这种架构虽然降低了攻击者成本,但也意味着通信特征相对固定,网络层面的行为分析仍有检测空间。
我的判断:攻击者正在"产品化"渗透工具
DEEP#DOOR的真正信号不在于技术突破,而在于攻击工具的产品化趋势。
它将分散的渗透技术整合为单一、自包含的交付包:一个批处理文件即包含载荷投递、防御规避、持久化建立、远程控制、凭证窃取的全链条。这种"开箱即用"的设计降低了攻击门槛,意味着更多中等技术水平的威胁行为者可以部署 sophisticated 的入侵能力。
对于企业安全团队,这意味着防御重心需要调整。网络层检测的窗口正在收窄,终端行为监控、凭证访问审计、特权账户管理的基础建设变得更为紧迫。当攻击者把复杂攻击封装成单文件产品时,防御方也需要相应的自动化响应能力来匹配这种效率。
Securonix研究团队的分析数据指向一个明确结论:DEEP#DOOR的检测难点不在于技术不可解,而在于它压缩了从初始访问到全面控制的时间窗口,留给防御者的反应空间被显著压缩。
热门跟贴