Deep#Door: Neuer Python-Backdoor für Spionage und Sabotage auf Windows-Systemen

Zusammenfassung

Der Sicherheitsanbieter Securonix hat ein neu entdecktes, getarntes Backdoor-Framework auf Python-Basis analysiert, das Angreifern dauerhaften Fernzugriff und umfangreiche Überwachungsmöglichkeiten auf Windows-Rechnern verschafft. Die Schadsoftware trägt den Namen Deep#Door und ist laut Securonix mit hoher Wahrscheinlichkeit für Spionagezwecke konzipiert. Die Infektionskette beginnt mit einem Batch-Skript, das zentrale Sicherheitsfunktionen des Systems abschaltet – darunter SmartScreen, das Firewall-Protokoll, den Manipulationsschutz von Defender sowie die Funktionen der Antimalware Scan Interface (AMSI). Anschließend lädt es eine eingebettete Python-Komponente nach und verankert sich mehrfach im System: über Einträge in den Run-Registry-Schlüsseln, geplante Tasks und Skripte im Autostart-Ordner. Besonders auffällig ist die Tarnung: Das Verzeichnis, in dem der Backdoor abgelegt wird, ahmt legitime Windows-Dienste nach, um im normalen Systembetrieb unterzugehen. Da die schädliche Nutzlast direkt im Körper des Batch-Skripts steckt, vereinfacht dies laut Securonix nicht nur die Auslieferung, sondern umgeht auch netzwerkbasierte Erkennung.

Nach Angaben von Securonix rekonstruiert das Skript die eingebettete Nutzlast – eben den Backdoor Deep#Door – direkt im Arbeitsspeicher und auf der Festplatte und richtet anschließend den Befehlskanal ein. Ausgeführt wird die Schadsoftware beim Anmelden des Nutzers.

Bevor Deep#Door aktiv wird, prüft der Backdoor seine Umgebung. Er stellt sicher, dass er nicht in virtuellen Maschinen, Sandboxes oder Analyseumgebungen läuft, indem er nach Debuggern, bestimmten Virtualisierungsmerkmalen sowie verhaltens- und umgebungsbezogenen Charakteristika sucht.

Ist der Backdoor erst einmal aktiv, eröffnet er den Angreifern ein breites Funktionsspektrum: das Ausführen von Shell-Befehlen, Dateimanipulation sowie System- und Netzwerkaufklärung. Hinzu kommen Überwachungsfunktionen wie Keylogging, das Mitlesen der Zwischenablage, Bildschirmaufnahmen, der Zugriff auf Mikrofon und Webcam sowie das Abgreifen von Zugangsdaten und SSH-Schlüsseln.

Darüber hinaus kann Deep#Door von der Spionage zu zerstörerischen Operationen übergehen. Laut Securonix lässt sich damit der Master Boot Record überschreiben, gezielt ein Systemabsturz auslösen und durch das Starten zahlreicher Prozesse die Systemressourcen erschöpfen.

Zur Tarnung setzt die Schadsoftware auf mehrere ineinandergreifende Techniken zur Erkennungsvermeidung. „Deep#Door enthält ein gestaffeltes und äußerst aggressives Bündel von Techniken zur Umgehung von Sicherheitskontrollen, zur Vermeidung von Erkennung und zur Erschwerung forensischer Analysen. Diese Mechanismen greifen sowohl vor als auch während der Ausführung, damit der Implantat-Code über seine gesamte Lebensdauer hinweg verdeckt bleibt“, erläutert Securonix.

Für die Kommunikation mit der Command-and-Control-Infrastruktur konstruiert die Schadsoftware dynamisch eine Reihe möglicher Ports, sodass sie ihre Steuerungsserver auch dann erreicht, wenn einzelne Ports blockiert sind. Zusätzlich nutzt sie öffentliche Tunneling-Dienste, um verdeckt und widerstandsfähig zu kommunizieren und sich in legitimen Datenverkehr einzufügen.

„Die Kombination aus mehrschichtiger Persistenz, fortgeschrittener Erkennungsvermeidung – etwa dem Patchen von AMSI und ETW sowie dem Aushängen von ntdll – und Tarntechniken im Arbeitsspeicher erlaubt es dem Implantat, mit minimalen forensischen Spuren zu arbeiten und zugleich langfristigen Zugriff aufrechtzuerhalten“, so Securonix. Der Anbieter betont, dass Deep#Door aller Wahrscheinlichkeit nach für Spionagezwecke entwickelt wurde.

Deep#Door: Neuer Python-Backdoor für Spionage und Sabotage auf Windows-Systemen

Ähnliche Artikel

Neueste Artikel