### Análisis Profundo de DEEP#DOOR Investigadores de **Securonix** han publicado detalles sobre **DEEP#DOOR**, un sigiloso framework de backdoor en Python con potentes capacidades. La cadena de ataque comienza con un script batch (`install_obf.bat`) que deshabilita los controles de seguridad de **Windows** y extrae un payload de Python incrustado (`svc.py`). La persistencia se establece a través de varios mecanismos, incluyendo scripts en la carpeta de Inicio, claves Run en el registro, tareas programadas y suscripciones WMI opcionales. Según los investigadores de **Securonix**, Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee, el script batch probablemente se distribuye mediante phishing. Si bien el alcance de la propagación del malware aún no está claro, el análisis actual sugiere un uso dirigido en lugar de uno generalizado. ### Características y Funcionalidad Clave Un aspecto notable de **DEEP#DOOR** es la incrustación del implant principal de Python directamente dentro del script dropper. Esto elimina la necesidad de comunicación frecuente con infraestructura externa y minimiza la huella forense. Al ejecutarse, el malware se comunica con `bore[.]pub`, un servicio de tunneling basado en Rust, lo que permite la ejecución remota de comandos y una vigilancia exhaustiva. Las capacidades incluyen: * Reverse shell * Reconocimiento del sistema * Keylogging * Monitoreo del portapapeles * Captura de pantalla * Acceso a la webcam * Grabación de audio ambiental * Robo de credenciales del navegador web * Extracción de claves SSH * Credenciales almacenadas en **Google Chrome**, **Mozilla Firefox** y **Windows Credential Manager** * Robo de credenciales en la nube (**Amazon Web Services**, **Google Cloud** y **Microsoft Azure**)  ### Evasión y Persistencia **DEEP#DOOR** utiliza un servicio de tunneling TCP público para el comando y control (C2), mezclando tráfico malicioso y evitando la necesidad de infraestructura dedicada. También incorpora mecanismos anti-análisis y de evasión de defensas, tales como: * Detección de sandbox, debugger y máquina virtual (VM) * Parcheo de AMSI y Event Tracing for Windows (ETW) * Desenganchamiento de NTDLL * Manipulación de **Microsoft Defender** * Bypass de SmartScreen * Supresión de logging de PowerShell * Borrado de línea de comandos * Sobrescritura de marcas de tiempo (Timestamp stomping) * Limpieza de logs El malware emplea múltiples mecanismos de persistencia, incluyendo scripts de la carpeta de Inicio de Windows, claves Run del Registro y tareas programadas, con un mecanismo de "vigilancia" para asegurar que los artefactos de persistencia se recrean si se eliminan. ### Implicaciones para Profesionales de Seguridad **Securonix** enfatiza que **DEEP#DOOR** representa un cambio hacia frameworks de intrusión sin archivos y basados en scripts que aprovechan componentes nativos del sistema y lenguajes interpretados como Python. La incrustación del payload directamente en el dropper reduce las dependencias externas y limita las oportunidades de detección. Los profesionales de seguridad deben estar vigilantes e implementar soluciones robustas de detección y respuesta en endpoints (EDR) para identificar y mitigar amenazas como **DEEP#DOOR**. Revisar y actualizar regularmente las políticas de seguridad para abordar las tácticas cambiantes de los actores de amenazas.