Cybersecurity-Forscher haben einen Python-basierten Hintertürrahmen dokumentiert, der Aufmerksamkeit für seine Kombination aus Sigil, Persistenz und Spionagebereich verdient: bekannt in Berichten als DEEP # DOOR, wird von einem Dropper in Batch installiert, der Sicherheitskontrollen deaktiviert und eine Nutzlast in der Zeit der Ausführung Python eingebettet, die die klassischen Eingriffssignale auf Festplatte drastisch reduziert.
Die Technik des Einbettens des Implantats in das Installationsskript und der Rekonstruktion im Speicher ist wichtig, weil es den Angriff zu einem Low-Profil-Betrieb macht: weniger Aufrufe an externe Infrastruktur und weniger Artefakte, die Verteidiger nach der Tatsache analysieren können. Die Python-Komponente bietet vollständige Funktionen von Remote Access Trojan, einschließlich Remote-Ausführung, Schlüsselerfassung, Clipboard-Überwachung, Screenshots, Zugriff auf Webcam und Mikrofon, und Diebstahl von Browser-Anmeldeinformationen, SSH-Tasten und Anmeldeinformationen in öffentlichen Clouds wie AWS, GCP und Azure.
Ein weiteres Element, das das Risiko erhöht, ist die Nutzung von öffentlichen Tunelisierungsdiensten (in diesem Fall wird es mit Bohrloch) für den Kontroll- und Kontrollkanal, der es dem Bediener ermöglicht, die Notwendigkeit seiner eigenen Infrastruktur zu vermeiden und den schädlichen Verkehr mit legitimem Verkehr gemischt zu haben. Gleichzeitig implementiert Malware mehrere Persistenzmechanismen - Start Ordner, Registry Run Schlüssel, programmierte Aufgaben und WMI-Abonnements - und sogar ein "watch dog" Mechanismus, der Artefakte rezitiert, wenn sie gelöscht werden, Komplikation der Abhilfe.
DEEP # DOOR enthält auch eine breite Palette von Vermeidung und Anti-Analyse-Techniken: Erkennung von Sandkästen und virtuellen Maschinen, AMSI und ETW-Patching, NTDLL unhook, Microsoft Defender Handling, SmartScreen Bypass, PowerShell looms Unterdrückung, gelöscht aus dem Befehl und Track History of Timstamps und Records. Diese Maßnahmen suchen die Sichtbarkeit von Forens reduzieren und es schwierig machen, durch traditionelle Lösungen und durch zufällige Reaktionsteams zu erkennen.
Die Implikationen für Organisationen und Profis sind klar: Diese Arten von Frameworks verstärken den Trend zu "fileless" oder Script-basierten Intrusionen, die native Systemkomponenten und Sprachen, die als Python interpretiert werden, ausnutzen, was die Abwehrkräfte dazu zwingt, über das einfache Datei-Scannen angepasst zu werden. Es wird empfohlen, diese Techniken gegen Referenzrahmen wie MITRE ATT & CK zu ordnen, um effektive Erkennungen und Minderungen zu priorisieren; diese Ressource kann bei https: / / attack.mitre.org /.
In Bezug auf konkrete Maßnahmen ist es unerlässlich, Mechanismen zu zwingen, die Ausführung von nicht verwalteten Skripten und binären (AppLocker oder Windows Defender Application Control) zu begrenzen, um Anti-Tampering-Funktionen in Endpoint-Produkten zu aktivieren und zu schützen (z.B. der Microsoft Defender Handling Protection, erhältlich bei Microsoft Defender Handling Protection). Microsoft-Dokumentation), und eine verbindliche Registrierung und Telemetrie für PowerShell und andere Dolmetscher einrichten, um die Löschung der Anmeldung zu vermeiden. Auf Netzwerkebene reduziert die Steuerung und Sperrung bekannter Tunelisierungsdienste und die Einschränkung des Abflusses durch Domain / Port die Fähigkeit des Angreifers, C2 zu etablieren.
Wenn Sie das Engagement vermuten, muss die Antwort den dauerhaften Zugriff und die Exfiltration von Anmeldeinformationen annehmen: die Ausrüstung zu isolieren, flüchtige Speicher für die Analyse zu bewahren, programmierte Aufgaben zu überprüfen, Run-Tasten, Start-Ordner und jeden Watchdog, der die Beharrlichkeit revidiert; Audit Anmeldeinformationen Repositories, SSH-Tasten und Cloud-Konten und die Zwangsdrehung von Geheimnissen und Widerrufen betroffener Schlüssel / Anmeldeinformationen berücksichtigen. Um den Umfang des Eindringens zu verstehen und die Position zu verschärfen, ist es angebracht, sich auf IR-Spezialisten und EDR-Steuerungen zu verlassen, die Haken- / Unhooking-Techniken und Telemetrie-Handling erkennen.
DEEP # DOOR ist eine Erinnerung, dass die Gegner heute die Evasion und die operative Widerstandsfähigkeit gegenüber der exotischen Raffinesse priorisieren: die Kombination von osfusierten Skripten, regelmäßigen Dolmetschern und öffentlichen Routing-Diensten schafft eine praktische und schwierige Bedrohung zu verfolgen. Effektive Verteidigung erfordert die Anwendung klassischer Prinzipien - weniger Privilegien, Netzwerksegmentierung, Sichtbarkeit und Ausführungskontrolle - aber angepasst an das moderne Bild von Script-basierten Bedrohungen, sowie die Integration kontinuierlicher Überwachung und Reaktion durch Bedrohung Intelligenz und gute digitale Hygiene Praktiken unterstützt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...