DEEP#DOOR: Python-Backdoor stiehlt Browser- und Cloud-Zugangsdaten über öffentlichen Tunneldienst

Zusammenfassung

Sicherheitsforscher von Securonix haben ein Python-basiertes Backdoor-Framework namens DEEP#DOOR offengelegt, das sich dauerhaft in kompromittierten Windows-Systemen einnistet und ein breites Spektrum sensibler Daten abgreift. Laut den Forschern Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee beginnt die Angriffskette mit der Ausführung eines Batch-Skripts namens „install_obf.bat", das Windows-Sicherheitskontrollen deaktiviert, eine eingebettete Python-Nutzlast („svc.py") dynamisch extrahiert und sich über mehrere Mechanismen dauerhaft verankert. Dazu zählen Skripte im Autostart-Ordner, Registry-Run-Schlüssel, geplante Aufgaben und optional WMI-Abonnements. Das Batch-Skript wird der Einschätzung nach über klassische Wege wie Phishing verbreitet. Nach dem Start nimmt die Schadsoftware Kontakt zu „bore.pub" auf, einem in Rust geschriebenen Tunneldienst, über den der Betreiber Befehle absetzen und das System fernsteuern und überwachen kann. Wie weit die Angriffe verbreitet sind und ob Infektionen erfolgreich waren, ist bislang unklar. Nach gegenwärtigem Stand gibt es laut Securonix keine klaren Hinweise auf einen breiten Einsatz in großangelegten Kampagnen; die beobachtete Nutzung wirke begrenzt und eher gezielt.

Das Besondere an der Angriffskette ist die Bauweise des Implantats: Der eigentliche Python-Schädling steckt direkt im Dropper-Skript, von wo aus er extrahiert, rekonstruiert und ausgeführt wird. Damit muss die Malware seltener externe Infrastruktur kontaktieren und hinterlässt weniger forensische Spuren.

Für die Kommunikation setzt DEEP#DOOR auf „bore.pub", einen öffentlichen, in Rust geschriebenen TCP-Tunneldienst. Über diesen Kanal kann der Betreiber Befehle ausführen lassen und das infizierte System umfassend ausspähen. Der Rückgriff auf einen öffentlichen Tunneldienst als Command-and-Control-Kanal (C2) bringt aus Angreifersicht mehrere Vorteile: Eine eigene Infrastruktur muss nicht aufgebaut werden, der bösartige Datenverkehr verschwindet im regulären Verkehr, und es müssen keine Serverdetails in der Nutzlast hinterlegt werden.

Parallel dazu bringt das Framework eine ganze Reihe von Mechanismen zur Analyse- und Abwehrumgehung mit. Dazu gehören das Erkennen von Sandboxes, Debuggern und virtuellen Maschinen, das Patchen von AMSI und Event Tracing for Windows (ETW), das Aushängen von NTDLL-Hooks, Manipulationen an Microsoft Defender, das Umgehen von SmartScreen, das Unterdrücken der PowerShell-Protokollierung, das Löschen von Kommandozeileneinträgen, das Verändern von Zeitstempeln sowie das Bereinigen von Protokolldateien.

Zur Verankerung nutzt DEEP#DOOR mehrere Persistenzmechanismen — Skripte im Autostart-Ordner, Registry-Run-Schlüssel und geplante Aufgaben. Ein Watchdog-Mechanismus überwacht zudem, ob diese Artefakte entfernt wurden, und legt sie bei Bedarf automatisch neu an, was die Bereinigung erschwert.

Nach Einschätzung von Securonix arbeitet das resultierende Implantat als vollwertiger Remote Access Trojan (RAT), der auf langfristige Persistenz, Spionage, seitliche Bewegung im Netzwerk und Nachexploitations-Operationen ausgelegt ist. Im Vordergrund stehe dabei, der Erkennung und der forensischen Sichtbarkeit zu entgehen, indem die Schadsoftware direkt in Windows-Sicherheits- und Telemetriemechanismen eingreift.

Die Forscher werten DEEP#DOOR als Beispiel für den anhaltenden Trend hin zu dateilosen, skriptgesteuerten Angriffs-Frameworks, die stark auf native Systemkomponenten und interpretierte Sprachen wie Python setzen. Indem die Nutzlast direkt im Dropper eingebettet und erst zur Laufzeit extrahiert wird, reduziert die Malware externe Abhängigkeiten und schränkt klassische Erkennungsmöglichkeiten ein.

DEEP#DOOR: Python-Backdoor stiehlt Browser- und Cloud-Zugangsdaten über öffentlichen Tunneldienst

Ähnliche Artikel

Neueste Artikel