### Tiefere Einblicke in DEEP#DOOR Forscher von **Securonix** haben Details zu **DEEP#DOOR** veröffentlicht, einem heimlichen Python-Backdoor-Framework mit starken Fähigkeiten. Die Angriffskette beginnt mit einem Batch-Skript (`install_obf.bat`), das **Windows**-Sicherheitskontrollen deaktiviert und eine eingebettete Python-Payload (`svc.py`) extrahiert. Die Persistenz wird durch verschiedene Mechanismen etabliert, darunter Skripte im Autostart-Ordner, Registry Run-Schlüssel, geplante Tasks und optionale WMI-Abonnements. Laut den **Securonix**-Forschern Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee wird das Batch-Skript wahrscheinlich über Phishing verbreitet. Obwohl das Ausmaß der Verbreitung der Malware unklar bleibt, deuten aktuelle Analysen auf eine gezielte und keine weit verbreitete Nutzung hin. ### Hauptmerkmale und Funktionalität Ein bemerkenswerter Aspekt von **DEEP#DOOR** ist die Einbettung des Kern-Python-Implantats direkt in das Dropper-Skript. Dies eliminiert die Notwendigkeit häufiger externer Infrastrukturkommunikation und minimiert den forensischen Fußabdruck. Nach der Ausführung kommuniziert die Malware mit `bore[.]pub`, einem auf Rust basierenden Tunneling-Dienst, der die Fernausführung von Befehlen und eine umfassende Überwachung ermöglicht. Zu den Fähigkeiten gehören: * Reverse Shell * Systemaufklärung * Keylogging * Überwachung der Zwischenablage * Erfassung von Screenshots * Zugriff auf die Webcam * Aufnahme von Umgebungsgeräuschen * Diebstahl von Anmeldeinformationen aus Webbrowsern * Extraktion von SSH-Schlüsseln * Anmeldeinformationen, die in **Google Chrome**, **Mozilla Firefox** und **Windows Credential Manager** gespeichert sind * Diebstahl von Cloud-Anmeldeinformationen (**Amazon Web Services**, **Google Cloud** und **Microsoft Azure**)  ### Umgehung und Persistenz **DEEP#DOOR** nutzt einen öffentlichen TCP-Tunneling-Dienst für Command-and-Control (C2), um bösartigen Datenverkehr zu verschleiern und die Notwendigkeit einer dedizierten Infrastruktur zu vermeiden. Es enthält auch Mechanismen zur Anti-Analyse und zur Umgehung von Abwehrmaßnahmen, wie zum Beispiel: * Erkennung von Sandboxes, Debuggern und virtuellen Maschinen (VMs) * Patching von AMSI und Event Tracing for Windows (ETW) * NTDLL Unhooking * Manipulation von **Microsoft Defender** * Umgehung von SmartScreen * Unterdrückung der PowerShell-Protokollierung * Löschen von Befehlszeilen * Timestamp Stomping * Löschen von Protokollen Die Malware verwendet mehrere Persistenzmechanismen, darunter Skripte im Windows Autostart-Ordner, Registry Run-Schlüssel und geplante Tasks, mit einem Watchdog-Mechanismus, um sicherzustellen, dass Persistenzartefakte bei Entfernung neu erstellt werden. ### Auswirkungen für Sicherheitsexperten **Securonix** betont, dass **DEEP#DOOR** eine Verlagerung hin zu dateilosen, skriptgesteuerten Intrusion-Frameworks darstellt, die native Systemkomponenten und interpretierte Sprachen wie Python nutzen. Die direkte Einbettung der Payload in den Dropper reduziert externe Abhängigkeiten und schränkt Erkennungsmöglichkeiten ein. Sicherheitsexperten sollten wachsam sein und robuste Endpoint Detection and Response (EDR)-Lösungen implementieren, um Bedrohungen wie **DEEP#DOOR** zu identifizieren und zu mindern. Überprüfen und aktualisieren Sie regelmäßig Ihre Sicherheitsrichtlinien, um den sich entwickelnden Taktiken von Bedrohungsakteuren Rechnung zu tragen.