محققان امنیت سایبری از شناسایی یک بکدور پایتون مخفی و پیچیده به نام DEEP#DOOR خبر دادهاند. این ابزار مخرب که به عنوان یک فریمورک ماژولار طراحی شده، با سوءاستفاده از سرویس تانلینگ bore[.]pub، اطلاعات حساسی همچون اعتبارنامههای مرورگر و دسترسیهای ابری را سرقت میکند.
بکدور پایتون DEEP#DOOR علاوه بر ایجاد دسترسی پایدار (Persistent Access)، برای مهاجمان امکان اجرای کد از راه دور (RCE) و استخراج گسترده دادهها از سیستم قربانی را فراهم میکند.
زنجیره نفوذ بکدور پایتون DEEP#DOOR
طبق گزارش محققان Securonix، نفوذ با اجرای یک Batch Script به نام install_obf.bat آغاز میشود. این اسکریپت با غیرفعالسازی کنترلهای امنیتی ویندوز، استخراج پویا یک پیلود پایتون با نام svc.py و ایجاد مکانیزمهای پایداری از طریق پوشه Startup، کلیدهای رجیستری Run و تسکهای زمانبندیشده، زمینهی نصب پایدار بکدور پایتون DEEP#DOOR را فراهم میکند.
طراحی ماژولار بکدور پایتون DEEP#DOOR و کاهش ردپای فارنزیک
یکی از جنبههای منحصربهفرد بکدور پایتون DEEP#DOOR، جاسازی کامل پیلود در Dropper است. در این روش، کد مخرب مستقیماً در اسکریپت نصب قرار گرفته و در زمان اجرا استخراج میشود. این طراحی وابستگی بدافزار به زیرساختهای خارجی را کاهش داده و ردپای فارنزیک آن را به حداقل میرساند. بدافزار پس از فعالسازی، از سرویس تانلینگ bore[.]pub که با زبان Rust توسعه یافته است برای ایجاد کانال ارتباطی با مهاجم استفاده میکند.
قابلیتهای عملیاتی بکدور پایتون DEEP#DOOR
تحلیل عملکرد بکدور پایتون DEEP#DOOR نشان میدهد که این ابزار در عمل یک تروجان دسترسی از راه دور (RAT) کامل است و میتواند عملیات جاسوسی و جمعآوری اطلاعات را در مقیاس گسترده انجام دهد.
مهمترین قابلیتهای آن شامل موارد زیر است:
- شل معکوس (Reverse Shell)
- شناسایی و جمعآوری اطلاعات سیستم
- ثبت کلیدهای صفحه کلید (Keylogging)
- مانیتورینگ کلیپبورد
- تهیه اسکرینشات
- دسترسی به وبکم و ضبط صدای محیط
- سرقت اعتبارنامههای مرورگر
- استخراج کلیدهای SSH
- سرقت اعتبارنامههای Chrome، Firefox و Windows Credential Manager
- سرقت اعتبارنامههای ابری از سرویسهایی مانند Amazon Web Services، Google Cloud و Microsoft Azure
استفاده از سرویس تانلینگ عمومی TCP برای فرماندهی و کنترل (C2) چند مزیت مهم دارد؛ از جمله اینکه نیاز به راهاندازی زیرساخت اختصاصی را از بین میبرد، ترافیک مخرب را با ترافیک عادی ادغام میکند و از قرار دادن جزئیات سرور داخل پیلود بدافزار جلوگیری میکند.
مکانیزمهای جلوگیری از شناسایی در بکدور پایتون DEEP#DOOR
بکدور DEEP#DOOR از مجموعهای از تکنیکهای پیشرفته برای جلوگیری از شناسایی و پنهانسازی استفاده میکند که شامل موارد زیر است:
- شناسایی و مقابله با محیطهای Sandbox، Debugger و ماشین مجازی (VM)
- پچکردن ابزارهای امنیتی مانند AMSI و ETW
- حذف hookها از کتابخانه NTDLL
- دستکاری Microsoft Defender و دور زدن SmartScreen
- حذف لاگها و پاکسازی دستورات اجرایی
- استفاده از Watchdog برای بازسازی مکانیزمهای پایداری در صورت حذف فایلها
این رویکردها باعث میشوند تحلیل فارنزیک و شناسایی عملکرد این بکدور بسیار دشوار شود.
تهدیدی فراتر از بدافزارهای معمول
ظهور بکدور پایتون DEEP#DOOR نشاندهنده روند روبهرشد استفاده مهاجمان از فریمورکهای نفوذ Fileless و اسکریپتمحور است. استفاده از زبانهای تفسیری مانند پایتون و اجرای پیلود در زمان اجرا، وابستگی به فایلهای اجرایی سنتی را کاهش داده و شناسایی تهدید را برای راهکارهای امنیتی دشوارتر میکند.
برای کاهش ریسک چنین حملاتی، سازمانها باید اقداماتی مانند نظارت بر ارتباطات شبکه، مانیتورینگ تغییرات رجیستری و پوشه Startup و همچنین تحلیل عملکرد اسکریپتهای پایتونی مشکوک را در اولویت قرار دهند.
