MalwareSchwachstellenHackerangriffe

DEEP#DOOR: Gefährlicher Python-Backdoor nutzt Tunneling-Dienste für Credential-Diebstahl

Von CyberDeutsch Redaktion
DEEP#DOOR: Gefährlicher Python-Backdoor nutzt Tunneling-Dienste für Credential-Diebstahl
Zusammenfassung

Sicherheitsforschern ist eine neue Python-basierte Malware namens DEEP#DOOR aufgefallen, die als vollwertiger Remote Access Trojan fungiert und es Angreifern ermöglicht, sich persistent in Windows-Systeme einzuschleusen und umfangreiche Daten zu stehlen. Die Angriffskette beginnt mit einem getarnten Batch-Skript, das Windows-Sicherheitsmechanismen deaktiviert, einen versteckten Python-Payload extrahiert und mehrere Persistenzmechanismen etabliert – darunter Startup-Ordner-Skripte, Registry-Einträge und geplante Tasks. Besonders bemerkenswert ist die Verwendung des öffentlichen Tunneling-Dienstes "bore.pub" zur Kommunikation mit dem Command-and-Control-Server, wodurch Angreifer keine dedizierte Infrastruktur aufbauen müssen und ihre Aktivitäten verschleieren können. Die Malware verfügt über umfangreiche Anti-Analyse-Funktionen und greift auf native Windows-Komponenten zu, um Sicherheitssoftware wie Microsoft Defender zu umgehen. Obwohl derzeit keine Hinweise auf massive Kampagnen existieren, betont dies die wachsende Bedrohung durch skriptgesteuerte, fileless-Angriffe. Für deutsche Nutzer, Unternehmen und Behörden bedeutet dies ein erhöhtes Risiko durch Phishing-Kampagnen, die solche Malware verbreiten könnten – insbesondere kritische Infrastrukturen und Organisationen sollten ihre Erkennungs- und Reaktionsfähigkeiten verbessern.

Das Framework DEEP#DOOR stellt eine neue Generation von Malware dar, die traditionelle Abwehrmaßnahmen systematisch umgeht. Laut der Analyse von Sicherheitsforschern der Firma Securonix – Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee – beginnt die Infektionskette mit einem unscheinbaren Batch-Skript namens “install_obf.bat”, das Windows-Sicherheitskontrollen deaktiviert und anschließend eine Python-Payload extrahiert.

Das Besondere: Die gesamte Malware wird als embedded Payload direkt im Dropper mitgeführt. Dies reduziert externe Abhängigkeiten drastisch und minimiert die forensische Nachverfolgbarkeit – ein Traum für Angreifer, ein Albtraum für Incident-Response-Teams. Das Skript verbreitet sich über klassische Phishing-Attacken, ist aber bislang nicht in massiven Kampagnen aufgegriffen worden.

Einmal ausgeführt, verbindet sich DEEP#DOOR mit dem öffentlich verfügbaren Tunneling-Dienst bore.pub, einem Rust-basierten Service. Diese Wahl ist strategisch klug: Ein öffentlicher Tunneling-Service wird von Sicherheitslösungen typischerweise nicht als verdächtig eingestuft, und Netzwerk-Anomalien sind schwer zu erkennen.

Der Backdoor funktioniert als vollständig ausgestattetes Remote Access Trojan (RAT). Seine Fähigkeiten umfassen Remote-Befehlsausführung, Credential-Harvesting aus Browsern und Cloud-Anwendungen, Lateral Movement und Post-Exploitation-Operationen. Besonders tückisch sind die implementierten Anti-Analyse-Mechanismen: Sandbox-, Debugger- und VM-Erkennung, AMSI- und ETW-Patching, NTDLL-Unhooking sowie Microsoft-Defender-Tampering. Das Framework unterdrückt PowerShell-Logging, löscht Kommandozeilen-Historien und manipuliert Dateizeitstempel.

Ein Watchdog-Mechanismus überwacht die Persistenz-Artefakte und reaktiviert sie automatisch, falls diese entfernt werden. Dies macht eine Bereinigung für Administratoren extrem schwierig.

Securonix-Forscher betonen, dass dieses Framework die Entwicklung hin zu skriptgesteuerten, “fileless” Angriffen widerspiegelt, die native Windows-Komponenten und interpretierte Sprachen wie Python missbrauchen. Für deutsche Unternehmen und Behörden ist dies ein Warnsignal: Traditionelle signaturbasierte Antivirus-Lösungen sind oft unwirksam gegen solche Angriffe. Verhaltensbasierte Detektion, Netzwerk-Segmentierung und Privileged-Access-Management sind jetzt essentiell.

Ähnliche Artikel