對於剛進入資安或開發領域的工程師來說,理解惡意軟體如何繞過防禦比單純知道它能做什麼更重要。最近發現的一個名為 DEEP#DOOR 的 Python 後門框架,提供了一個非常典型的現代攻擊範本,它結合了腳本化執行、合法服務偽裝以及深度的系統防禦規避。
這類攻擊的起點通常是社交工程,例如釣魚郵件。攻擊者會誘導使用者執行一個名為 install_obf.bat 的批次檔。這裡的 obf 是 obfuscation(混淆)的縮寫,意指將程式碼刻意寫得難以閱讀,目的是為了躲避靜態掃描工具的偵測。
這個批次檔扮演的是 Dropper(投放器)的角色。它的工作不是直接攻擊,而是準備環境。它會先關閉 Windows 的安全控制項,然後從自身內部提取出一個名為 svc.py 的 Python 腳本。這種將 Payload(惡意載荷,即真正執行攻擊的程式碼)直接嵌入在投放器中的做法,可以減少與外部伺服器的連線次數,降低被網路監控發現的機會,並減少在硬碟上留下的檔案足跡。
為了確保即使電腦重新啟動,後門依然能運作,DEEP#DOOR 使用了 Persistence(持久化)機制。它會同時在啟動資料夾、註冊表 Run 鍵值以及排程工作中植入啟動指令。更棘手的是,它還設計了一個 Watchdog(看門狗)機制,會持續監控這些啟動項是否被刪除,一旦發現被清理,會立即自動重建,增加清理難度。
在建立遠端控制通道時,它使用了一種稱為 Tunneling Service(隧道服務)的技術,具體是利用了名為 bore.pub 的 Rust 語言開發的公開隧道服務。
通常後門需要連接到攻擊者的 C2(Command and Control,指令與控制伺服器),如果直接連接到一個可疑的 IP,很容易被防火牆攔截。而隧道服務的作用是將本地端口映射到公網,讓惡意流量看起來像是正常的 HTTPS 流量。這樣攻擊者不需要自己架設昂貴且易被標記的伺服器基礎設施,就能實現遠端指令執行。
一旦成功掌控系統,這個後門就變成了一個功能完整的 RAT(Remote Access Trojan,遠端存取木馬)。它能執行包括鍵盤記錄、截圖、開啟視訊鏡頭、錄音等監控行為。更危險的是,它專門針對憑證竊取,能從 Chrome、Firefox 等瀏覽器以及 Windows 憑證管理員中提取帳號密碼,甚至能盜取 AWS、Google Cloud 和 Azure 等雲端平台的憑證。對於現代企業而言,雲端憑證的外洩往往意味著整個基礎設施的淪陷。
為了在系統中長期潛伏,DEEP#DOOR 實作了大量防禦規避技術。例如,它會偵測自己是否運行在 Sandbox(沙箱,一種隔離的測試環境)或 VM(虛擬機)中,如果是,就停止運作以避免被資安分析師分析。
它還會對 AMSI(Antimalware Scan Interface,Windows 的反惡意軟體掃描介面)和 ETW(Event Tracing for Windows,Windows 事件追蹤)進行 Patching(修補/攔截)。簡單來說,就是把系統用來回報可疑行為的口子堵住,讓安全軟體收不到警報。此外,它還會進行 NTDLL Unhooking,移除安全軟體在系統底層 API 上設置的監控鉤子,讓自己的行為變得不可見。
總結來說,DEEP#DOOR 代表了目前威脅趨勢的演進:從單一的執行檔轉向腳本驅動、利用原生系統元件以及濫用合法雲端服務。這提醒我們,單靠防毒軟體是不夠的,必須建立完整的端點偵測與回應(EDR)能力,並嚴格管理雲端憑證的權限。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。