Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Badacze bezpieczeństwa opisali nowe zagrożenie o nazwie DEEP#DOOR — backdoor napisany w Pythonie, którego celem jest długotrwałe utrzymanie dostępu do zainfekowanego systemu, kradzież danych oraz wsparcie działań poeksploatacyjnych. Malware wyróżnia się wykorzystaniem publicznej usługi tunelowania TCP do komunikacji z operatorem, co utrudnia klasyfikację ruchu jako jednoznacznie złośliwego i ogranicza potrzebę utrzymywania klasycznej infrastruktury command-and-control.
W skrócie
DEEP#DOOR działa jako pełnoprawny RAT i jest uruchamiany za pomocą skryptu wsadowego Windows, który instaluje osadzony ładunek Pythona, osłabia wybrane zabezpieczenia i konfiguruje trwałość w systemie. Zidentyfikowane funkcje obejmują m.in. keylogging, przechwytywanie schowka, zrzuty ekranu, dostęp do kamery i mikrofonu, a także kradzież poświadczeń z przeglądarek, kluczy SSH oraz sekretów związanych z usługami chmurowymi.
- Backdoor/RAT napisany w Pythonie
- Komunikacja przez publiczną usługę tunelowania TCP
- Wielowarstwowa trwałość i mechanizmy watchdog
- Kradzież poświadczeń lokalnych i chmurowych
- Techniki unikania analizy i osłabiania telemetryki Windows
Kontekst / historia
DEEP#DOOR wpisuje się w rosnący trend wykorzystania języków interpretowanych, takich jak Python, PowerShell czy JavaScript, do budowy nowoczesnego malware. Takie podejście daje operatorom elastyczność, szybkość rozwoju oraz możliwość łatwego ukrywania logiki działania w skryptach i loaderach.
W tym przypadku szczególnie istotne jest połączenie kilku technik: osadzenia głównego implantu bezpośrednio w dropperze, użycia tunelowania TCP jako kanału komunikacji oraz wdrożenia wielu metod persistence i defense evasion. Według dostępnych ustaleń malware może być dostarczany klasycznymi kanałami, w tym przez phishing, choć nie ma obecnie przesłanek wskazujących na szeroko zakrojoną kampanię masową.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od skryptu wsadowego systemu Windows, który pełni funkcję instalatora i droppera. Jego zadaniem jest przygotowanie środowiska, wyłączenie części mechanizmów ochronnych oraz wydobycie osadzonego komponentu Pythona bez konieczności pobierania kolejnych plików z zewnętrznych serwerów. Taki model redukuje ślady sieciowe i utrudnia analizę incydentu.
Po uruchomieniu implant zestawia komunikację z operatorem za pośrednictwem publicznej usługi tunelowania TCP. Z perspektywy atakującego oznacza to prostsze wystawienie usług ofiary do zdalnej obsługi, natomiast dla obrońców — większy problem z odróżnieniem legalnego ruchu od komunikacji C2.
Zakres funkcji wskazuje, że DEEP#DOOR został zaprojektowany do rozbudowanych działań po kompromitacji. Malware może wykonywać polecenia, prowadzić rekonesans systemu oraz zbierać szeroki zestaw informacji z urządzenia i kont użytkownika.
- zdalna powłoka i wykonywanie poleceń,
- rekonesans hosta,
- keylogging,
- monitorowanie schowka,
- wykonywanie zrzutów ekranu,
- dostęp do kamery internetowej,
- nagrywanie dźwięku,
- kradzież haseł i danych z przeglądarek,
- ekstrakcja kluczy SSH,
- pozyskiwanie sekretów z Windows Credential Manager,
- kradzież poświadczeń do AWS, Google Cloud i Microsoft Azure.
Równie istotne są mechanizmy unikania detekcji. Analiza wskazuje na wykrywanie sandboxów, debuggerów i maszyn wirtualnych, a także ingerencję w elementy ochronne systemu Windows. Opisane techniki obejmują m.in. patchowanie AMSI i ETW, unhooking bibliotek systemowych, obchodzenie SmartScreen, tłumienie logowania PowerShell oraz usuwanie śladów operacyjnych.
Trwałość realizowana jest wielowarstwowo, co zwiększa szanse na przetrwanie częściowych prób czyszczenia systemu. DEEP#DOOR wykorzystuje folder autostartu, klucze Run w rejestrze, zaplanowane zadania, a opcjonalnie także subskrypcje WMI. Dodatkowo wdrożony watchdog może odtwarzać usunięte artefakty persistence.
Konsekwencje / ryzyko
Ryzyko związane z DEEP#DOOR należy ocenić jako wysokie. Zagrożenie łączy funkcje szpiegowskie, dostęp zdalny i możliwości typowe dla narzędzi wykorzystywanych po uzyskaniu pierwszej kompromitacji, co znacząco zwiększa potencjalny wpływ incydentu na organizację.
Najpoważniejsze skutki obejmują przejęcie kont użytkowników, utratę poufnych danych, eskalację uprawnień oraz rozszerzenie incydentu z pojedynczej stacji roboczej na większą część środowiska. Szczególnie niebezpieczna jest kradzież poświadczeń chmurowych, ponieważ może umożliwić przejęcie zasobów poza siecią lokalną i rozwinięcie ataku w środowisku hybrydowym.
Niebezpieczeństwo zwiększa także zdolność malware do ukrywania się. Wykorzystanie publicznego tunelowania, ograniczenie zewnętrznych pobrań oraz manipulacja telemetryką Windows sprawiają, że organizacje polegające wyłącznie na sygnaturach lub podstawowej ochronie endpointów mogą wykryć zagrożenie zbyt późno.
Rekomendacje
Organizacje powinny podejść do tego typu zagrożeń w sposób warstwowy, łącząc prewencję, monitoring i gotowość do reagowania. W praktyce warto wdrożyć zarówno techniczne mechanizmy kontroli, jak i procedury szybkiej remediacji po wykryciu podejrzanej aktywności.
- monitorować uruchamianie interpretera Python i nietypowych skryptów wsadowych,
- wykrywać tworzenie trwałości przez Startup, klucze Run, harmonogram zadań i WMI,
- analizować próby modyfikacji AMSI, ETW, Defendera i logowania PowerShell,
- ograniczyć uruchamianie nieautoryzowanych skryptów przez polityki aplikacyjne,
- kontrolować ruch wychodzący i połączenia do usług tunelowania,
- ograniczać lokalne przechowywanie poświadczeń w przeglądarkach,
- stosować MFA dla kont chmurowych, administracyjnych i uprzywilejowanych,
- rotować klucze, tokeny i sekrety po każdym podejrzeniu kompromitacji,
- rozwijać reguły EDR/XDR oparte na zachowaniu,
- szkolić użytkowników pod kątem phishingu jako prawdopodobnego wektora wejścia.
W razie podejrzenia obecności podobnego implantu sama izolacja pojedynczego pliku może nie wystarczyć. Niezbędne jest pełne dochodzenie obejmujące pamięć operacyjną, mechanizmy persistence, artefakty PowerShell, rejestr, WMI, harmonogram zadań oraz wszystkie lokalnie przechowywane sekrety i poświadczenia.
Podsumowanie
DEEP#DOOR pokazuje, że współczesne backdoory coraz częściej łączą elastyczność języków skryptowych z zaawansowanymi technikami utrzymania dostępu i unikania detekcji. Połączenie tunelowania TCP, rozbudowanych funkcji kradzieży danych oraz działań wymierzonych w telemetrykę Windows czyni z tego malware istotny przykład nowoczesnego zagrożenia post-eksploatacyjnego.
Dla zespołów SOC i IR kluczowy wniosek jest jasny: skuteczna detekcja musi obejmować zachowanie procesów, anomalie persistence, ochronę poświadczeń oraz analizę ruchu wychodzącego — szczególnie w środowiskach, gdzie użytkownicy mają dostęp do zasobów chmurowych.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html
- Securonix Threat Research — https://www.securonix.com/
- bore — Rust TCP tunneling service — https://github.com/ekzhang/bore