### DEEP#DOORの詳細 **Securonix**の研究者たちは、強力な機能を備えたステルス型Pythonバックドアフレームワークである**DEEP#DOOR**に関する詳細を発表しました。攻撃チェーンは、**Windows**セキュリティコントロールを無効にし、埋め込まれたPythonペイロード（`svc.py`）を抽出するバッチスクリプト（`install_obf.bat`）から始まります。永続性は、スタートアップフォルダスクリプト、レジストリのRunキー、スケジュールされたタスク、およびオプションのWMIサブスクリプションを含むさまざまなメカニズムを通じて確立されます。 **Securonix**の研究者であるAkshay Gaikwad、Shikha Sangwan、Aaron Beardsleeによると、このバッチスクリプトはフィッシングを通じて配布される可能性が高いです。マルウェアの拡散範囲は不明ですが、現在の分析では広範な使用ではなく標的型である可能性が示唆されています。 ### 主要な機能と機能 **DEEP#DOOR**の注目すべき点は、コアPythonインプラントがドロッパー スクリプト自体に直接埋め込まれていることです。これにより、頻繁な外部インフラストラクチャ通信の必要がなくなり、フォレンジックフットプリントが最小限に抑えられます。 実行されると、マルウェアはRustベースのトンネリングサービスである`bore[.]pub`と通信し、リモートコマンド実行と広範な監視を可能にします。機能には以下が含まれます。 * リバースシェル * システム偵察 * キーロギング * クリップボード監視 * スクリーンショットキャプチャ * ウェブカメラアクセス * 環境音録音 * Webブラウザの認証情報収集 * SSHキー抽出 * **Google Chrome**、**Mozilla Firefox**、および**Windows Credential Manager**に保存されている認証情報 * クラウド認証情報の盗難（**Amazon Web Services**、**Google Cloud**、および**Microsoft Azure**）  ### 回避と永続性 **DEEP#DOOR**は、コマンドアンドコントロール（C2）のためにパブリックTCPトンネリングサービスを利用し、悪意のあるトラフィックを隠蔽し、専用インフラストラクチャの必要性を回避します。また、以下のようなアンチ分析および防御回避メカニズムも組み込まれています。 * サンドボックス、デバッガー、仮想マシン（VM）検出 * AMSIおよびWindowsイベントトレース（ETW）のパッチ適用 * NTDLLのアンフッキング * **Microsoft Defender**の改ざん * SmartScreenバイパス * PowerShellロギング抑制 * コマンドラインのワイプ * タイムスタンプのストーピング * ログのクリア マルウェアは、Windowsスタートアップフォルダスクリプト、レジストリRunキー、スケジュールされたタスクを含む複数の永続化メカニズムを採用しており、永続化アーティファクトが削除された場合に再作成されることを保証するウォッチャメカニズムを備えています。 ### セキュリティ専門家への影響 **Securonix**は、**DEEP#DOOR**がファイルレスでスクリプト駆動型の侵入フレームワークへの移行を示しており、ネイティブシステムコンポーネントとPythonのようなインタプリタ言語を活用していると強調しています。ペイロードをドロッパーに直接埋め込むことで、外部依存関係が減り、検出機会が制限されます。 セキュリティ専門家は警戒を怠らず、**DEEP#DOOR**のような脅威を特定および軽減するために、堅牢なエンドポイント検出および対応（EDR）ソリューションを実装する必要があります。脅威アクターの進化する戦術に対処するために、セキュリティポリシーを定期的にレビューおよび更新してください。