### Plongée dans DEEP#DOOR Les chercheurs de **Securonix** ont publié des détails sur **DEEP#DOOR**, un framework de backdoor Python furtif doté de capacités puissantes. La chaîne d'attaque commence par un script batch (`install_obf.bat`) qui désactive les contrôles de sécurité **Windows** et extrait une charge utile Python intégrée (`svc.py`). La persistance est établie via divers mécanismes, notamment des scripts dans le dossier de démarrage, des clés d'exécution dans le registre, des tâches planifiées et des abonnements WMI optionnels. Selon les chercheurs de **Securonix**, Akshay Gaikwad, Shikha Sangwan et Aaron Beardslee, le script batch est probablement distribué via le **phishing**. Bien que l'étendue de la propagation du malware reste floue, l'analyse actuelle suggère une utilisation ciblée plutôt que généralisée. ### Fonctionnalités clés Un aspect notable de **DEEP#DOOR** est l'intégration de l'implant Python principal directement dans le script dropper. Cela élimine le besoin de communications fréquentes avec une infrastructure externe et minimise l'empreinte forensique. Lors de l'exécution, le malware communique avec `bore[.]pub`, un service de tunneling basé sur Rust, permettant l'exécution de commandes à distance et une surveillance étendue. Les capacités incluent : * Shell inversé * Reconnaissance système * Enregistrement des frappes clavier (Keylogging) * Surveillance du presse-papiers * Capture d'écran * Enregistrement audio ambiant * Vol de credentials de navigateur web * Extraction de clés SSH * Credentials stockées dans **Google Chrome**, **Mozilla Firefox** et **Windows Credential Manager** * Vol de credentials cloud (**Amazon Web Services**, **Google Cloud** et **Microsoft Azure**)  ### Évasion et Persistance **DEEP#DOOR** utilise un service de tunneling TCP public pour le command-and-control (C2), mélangeant le trafic malveillant et évitant le besoin d'une infrastructure dédiée. Il intègre également des mécanismes anti-analyse et d'évasion de défense, tels que : * Détection de sandbox, de débogueur et de machine virtuelle (VM) * Patching d'AMSI et d'Event Tracing for Windows (ETW) * Unhooking de NTDLL * Altération de **Microsoft Defender** * Contournement de SmartScreen * Suppression de la journalisation PowerShell * Effacement de la ligne de commande * Altération des timestamps (Timestamp stomping) * Effacement des logs Le malware emploie plusieurs mécanismes de persistance, notamment des scripts dans le dossier de démarrage de Windows, des clés d'exécution du registre et des tâches planifiées, avec un mécanisme de surveillance pour garantir la recréation des artefacts de persistance s'ils sont supprimés. ### Implications pour les professionnels de la sécurité **Securonix** souligne que **DEEP#DOOR** représente une évolution vers des frameworks d'intrusion sans fichier, pilotés par script, qui exploitent les composants natifs du système et les langages interprétés comme Python. L'intégration de la charge utile directement dans le dropper réduit les dépendances externes et limite les opportunités de détection. Les professionnels de la sécurité doivent rester vigilants et mettre en œuvre des solutions robustes de détection et de réponse sur les points d'extrémité (EDR) pour identifier et atténuer les menaces comme **DEEP#DOOR**. Il est conseillé de réviser et de mettre à jour régulièrement les politiques de sécurité pour faire face aux tactiques évolutives des acteurs malveillants.