Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Deep#Door to nowo opisany trojan zdalnego dostępu (RAT) wymierzony w systemy Windows. Zagrożenie łączy prosty mechanizm dostarczenia z zaawansowanymi technikami ukrywania aktywności, utrzymywania dostępu oraz kradzieży danych, co czyni je szczególnie niebezpiecznym dla środowisk firmowych i użytkowników posiadających wrażliwe poświadczenia.
Na tle wielu innych rodzin malware Deep#Door wyróżnia się tym, że nie musi polegać na klasycznym pobieraniu głównego ładunku z internetu podczas początkowej fazy infekcji. Zamiast tego właściwy komponent jest osadzony bezpośrednio w skrypcie startowym, co ogranicza liczbę widocznych artefaktów i utrudnia wykrycie incydentu.
W skrócie
Deep#Door wykorzystuje zaciemniony plik wsadowy do wdrożenia pythonowego backdoora na hostach z Windows. Po uruchomieniu skrypt przygotowuje środowisko, osłabia wybrane mechanizmy bezpieczeństwa, zapisuje lokalnie ukryty ładunek i tworzy kilka warstw trwałości.
- wdraża backdoora w Pythonie z osadzonego ładunku,
- modyfikuje ustawienia ochrony i logowania,
- buduje wielowarstwowe mechanizmy persistence,
- komunikuje się z C2 przez publiczną usługę tunelowania TCP,
- umożliwia zdalne wykonywanie poleceń i kradzież poświadczeń,
- zawiera również funkcje destrukcyjne.
Kontekst / historia
Deep#Door wpisuje się w szerszy trend obserwowany w nowoczesnych kampaniach malware, w których operatorzy coraz częściej odchodzą od klasycznych binariów PE na rzecz skryptów, interpreterów i częściowo bezplikowych metod wykonania. Takie podejście zmniejsza liczbę artefaktów zapisywanych na dysku i pozwala skuteczniej ukrywać aktywność wśród legalnych procesów administracyjnych.
W analizowanym przypadku łańcuch infekcji rozpoczyna się od uruchomienia zaciemnionego pliku batch identyfikowanego jako install_obf.bat. To właśnie on odpowiada za osłabienie zabezpieczeń, wyodrębnienie właściwego implantu oraz ustanowienie trwałości. Ograniczenie konieczności pobierania kolejnych komponentów z sieci sprawia, że początkowa faza ataku pozostawia mniej klasycznych wskaźników kompromitacji.
Analiza techniczna
Najbardziej charakterystycznym elementem Deep#Door jest samowystarczalny model dostarczenia. Zaciemniony skrypt batch odczytuje własną zawartość, wydobywa z niej osadzony ładunek Python i zapisuje go lokalnie jako svc.py w katalogu użytkownika podszywającym się pod legalny komponent systemowy. Taka technika utrudnia zarówno analizę statyczną, jak i prostą detekcję opartą na wzorcach pobierania payloadu.
Malware aktywnie ingeruje także w warstwę ochronną systemu. Z opisu technicznego wynika, że zagrożenie może modyfikować ustawienia Windows Defendera, ograniczać widoczność logowania PowerShell, osłabiać rejestrowanie zdarzeń i stosować techniki omijania mechanizmów ochronnych. Wskazano również funkcje antyanalityczne, takie jak wykrywanie debuggerów, sandboxów, maszyn wirtualnych i narzędzi używanych przez zespoły bezpieczeństwa.
Trwałość została zaprojektowana wielowarstwowo. Deep#Door może wykorzystywać wpisy autostartu, klucze rejestru Run, zadania harmonogramu oraz subskrypcje zdarzeń WMI. Dodatkowym utrudnieniem dla zespołów reagowania jest mechanizm watchdog, który monitoruje obecność artefaktów i potrafi je odtworzyć po częściowym usunięciu.
Komunikacja z infrastrukturą sterującą również odbiega od typowego schematu. Zamiast korzystać wyłącznie z dedykowanego serwera C2, implant używa publicznej usługi tunelowania TCP. Konfiguracja obejmuje dynamicznie generowany zakres portów 41234–41243, co pozwala malware testować kolejne porty i zestawiać połączenie z aktywnym tunelem. Taki model utrudnia blokowanie ruchu na podstawie pojedynczych adresów lub domen.
Po aktywacji Deep#Door działa jak rozbudowany framework post-exploitation. Udokumentowane funkcje obejmują wykonywanie poleceń powłoki, keylogging, monitoring schowka, zrzuty ekranu, nagrywanie dźwięku z mikrofonu, dostęp do kamery, rekonesans hosta oraz kradzież poświadczeń z przeglądarek, Windows Credential Manager, katalogów z kluczami SSH i danych związanych ze środowiskami chmurowymi. Szczególnie alarmujące są moduły destrukcyjne, które mogą nadpisywać MBR i wymuszać awarię systemu.
Konsekwencje / ryzyko
Ryzyko związane z Deep#Door należy ocenić jako wysokie. Zagrożenie zapewnia trwały dostęp do zainfekowanego systemu, jest odporne na częściową remediację i umożliwia jednoczesne prowadzenie działań szpiegowskich oraz sabotażowych.
Dla organizacji szczególnie niebezpieczna jest zdolność malware do pozyskiwania haseł z przeglądarek, kluczy SSH i poświadczeń chmurowych. Oznacza to, że kompromitacja jednego endpointu może szybko przełożyć się na ryzyko dla środowisk hybrydowych, usług SaaS, paneli administracyjnych i zasobów DevOps. Jeśli zaatakowane konto posiada wysokie uprawnienia, skutki mogą objąć znaczną część infrastruktury.
Dodatkowe zagrożenie wynika z wykorzystania legalnie wyglądającej infrastruktury tunelowania. Taki ruch może nie wzbudzać podejrzeń, szczególnie tam, gdzie szyfrowane połączenia wychodzące i narzędzia zdalnego dostępu są powszechne. To istotnie utrudnia pracę zespołów SOC i zwiększa ryzyko długotrwałej obecności atakującego w środowisku.
Rekomendacje
Organizacje powinny traktować Deep#Door jako zagrożenie wymagające detekcji behawioralnej, a nie wyłącznie sygnaturowej. Kluczowe jest monitorowanie uruchomień skryptów batch i PowerShell, zwłaszcza tych, które odwołują się do własnej zawartości, lokalnie rekonstruują zakodowane dane lub zapisują payload w katalogach imitujących komponenty systemowe.
- monitorować modyfikacje ustawień Windows Defendera,
- wykrywać osłabianie lub wyłączanie logowania PowerShell,
- alarmować na tworzenie kluczy Run, zadań harmonogramu i subskrypcji WMI,
- analizować nietypową aktywność procesów Python z ruchem sieciowym,
- obserwować dostęp do magazynów haseł przeglądarek, katalogów
.sshi danych chmurowych, - korelować połączenia wychodzące do usług tunelowania z nietypowymi zakresami portów, w tym 41234–41243.
W przypadku podejrzenia infekcji zalecana jest natychmiastowa izolacja systemu, analiza pamięci operacyjnej i jednoczesne usunięcie wszystkich punktów persistence. Niezbędne może być także wymuszenie resetu poświadczeń użytkowników, rotacja kluczy SSH i tokenów chmurowych oraz przegląd logów dostępowych w systemach zewnętrznych.
Podsumowanie
Deep#Door pokazuje, że współczesne kampanie malware coraz częściej łączą skryptowe ładowanie, wykonanie częściowo w pamięci, wielowarstwową trwałość i wykorzystanie legalnie wyglądającej infrastruktury do ukrycia komunikacji C2. W praktyce oznacza to większą odporność na klasyczną detekcję oraz wyższe ryzyko długotrwałej kompromitacji środowiska Windows.
Z perspektywy obrońców kluczowe jest przesunięcie uwagi z samej obecności pliku na zachowanie procesu, zmiany konfiguracyjne i anomalie sieciowe. Deep#Door nie jest jedynie kolejnym trojanem zdalnego dostępu, ale przykładem elastycznego narzędzia, które może służyć zarówno do cyberwywiadu, jak i działań destrukcyjnych.