Investigadores de ciberseguridad han revelado detalles de un marco de puerta trasera sigiloso basado en Python llamado DEEP#DOOR que tiene la capacidad de establecer acceso persistente y recopilar una amplia gama de información confidencial de hosts comprometidos.
«La cadena de compromiso comienza con la ejecución de un script por lotes (‘install_obf.bat’) que desactiva los controles de seguridad de Windows, extrae dinámicamente una carga útil de Python integrada (‘svc.py’) y establece persistencia a través de múltiples mecanismos, incluidos scripts de carpetas de inicio, claves de ejecución del registro, tareas programadas y suscripciones WMI opcionales», afirmó Shikha, investigador de Securonix, Akshay Gaikwad. Sangwan y Aaron Beardslee dijeron en el artículo. El informe fue compartido con The Hacker News.
Se sabe que los scripts por lotes se distribuyen mediante métodos tradicionales como el phishing. En este momento, no está claro qué tan extendidos están los ataques que distribuyen malware y si sus infecciones tuvieron éxito.
Lo notable de esta cadena de ataque es que el implante central de Python está incrustado directamente dentro del script dropper, del cual se extrae, se vuelve a ensamblar y se ejecuta. Esto reduce la necesidad de acceso repetido a infraestructura externa y minimiza la huella forense.
Una vez lanzado, el malware establece comunicación con ‘bore(.)pub’, un servicio de túnel basado en Rust, que permite a los operadores emitir comandos que facilitan la ejecución remota de comandos y el monitoreo generalizado. Esto incluye –
Reconocimiento del sistema Shell inverso Registro de teclas Monitoreo del portapapeles Captura de pantalla Acceso a la cámara web Grabación de audio ambiental Recopilación de credenciales del navegador web Extracción de claves SSH Credenciales almacenadas en Google Chrome, Mozilla Firefox y Windows Credential Manager Robo de credenciales en la nube (Amazon Web Services, Google Cloud y Microsoft Azure)
El uso de un servicio público de túnel TCP para comando y control (C2) tiene varias ventajas, ya que elimina la necesidad de configurar una infraestructura dedicada, evita mezclar tráfico malicioso y evita incrustar detalles del servidor dentro de la carga útil.
Paralelamente, DEEP#DOOR incluye sandboxing, depurador, descubrimiento de máquinas virtuales (VM), parches AMSI y Event Tracing para Windows (ETW), desconexión de NTDLL, manipulación de Microsoft Defender, omisión de SmartScreen, supresión de registros de PowerShell, borrado de línea de comandos, marca de tiempo y registro. Incorpora una serie de mecanismos analíticos de prevención y evasión de defensa, como el claro, que pasan desapercibidos y complican los esfuerzos de respuesta a incidentes.
También emplea múltiples mecanismos de persistencia, incluida la creación de scripts de carpetas de inicio de Windows, claves de ejecución del registro y tareas programadas. También se basa en un mecanismo de vigilancia para garantizar que los artefactos de persistencia no se eliminen y, si lo hacen, recrearlos automáticamente, lo que dificulta su reparación.
«El implante resultante funciona como un troyano de acceso remoto (RAT) con todas las funciones, capaz de realizar persistencia a largo plazo, espionaje, movimiento lateral y operaciones posteriores a la explotación dentro de un entorno comprometido», dijo Securonix. «Este implante prioriza la evasión de detección y la visibilidad forense modificando directamente los mecanismos de telemetría y seguridad de Windows».
«DEEP#DOOR destaca la evolución continua de los actores de amenazas hacia marcos de intrusión sin archivos y basados en scripts que dependen en gran medida de componentes nativos del sistema y lenguajes interpretados como Python. Al incorporar cargas útiles directamente dentro de los droppers y extraerlas en tiempo de ejecución, el malware reduce significativamente las dependencias externas y limita las oportunidades de detección tradicionales».
Source link
