Компания Securonix опубликовала исследование нового вредоносного фреймворка под названием DEEPDOOR. Его изучали три специалиста: Akshay Gaikwad (Senior Security Research Engineer), Shikha Sangwan и Aaron Beardslee. То, что они описали, выглядит достаточно серьёзно даже на фоне других современных угроз.
DEEPDOOR распространяется через фишинг — стандартный, проверенный вектор атаки. Жертва получает письмо, запускает вложение, и начинается цепочка заражения. Первым звеном служит батник
Связь с командным сервером организована через публичный TCP-туннелинг-сервис bore[.]pub, написанный на Rust. Это нетривиальное решение: злоумышленникам не нужно разворачивать собственную инфраструктуру, а трафик к публичному сервису смешивается с обычной сетевой активностью и не вызывает подозрений у корпоративных межсетевых экранов. Адрес C2-сервера при этом не зашит в сам имплант, что дополнительно затрудняет анализ.
После установки соединения с оператором возможности DEEPDOOR оказываются весьма широкими. Это полноценный RAT: обратный шелл, разведка системы, кейлоггер, перехват буфера обмена, снятие скриншотов, доступ к веб-камере и запись звука через микрофон. Отдельно реализован модуль кражи учётных данных — он целенаправленно вытаскивает пароли из Google Chrome и Mozilla Firefox, обращается к Windows Credential Manager, извлекает SSH-ключи.
Особую угрозу представляет модуль для кражи облачных учётных данных. DEEPDOOR охотится за токенами и конфигурациями Amazon Web Services, Google Cloud и Microsoft Azure. Для компаний, которые держат критическую инфраструктуру в облаке, это потенциально означает полную компрометацию — не просто одна взломанная машина, а доступ ко всему, что находится за этими учётками.
Список техник обхода защиты у этого вредоноса действительно обширный. Тут и обнаружение песочниц, отладчиков и виртуальных машин, и патчинг AMSI (Anti-Malware Scan Interface), и патчинг ETW (Event Tracing for Windows), и анхукинг NTDLL. Дополнительно: вмешательство в работу Microsoft Defender, обход SmartScreen, подавление логирования PowerShell, очистка командной строки, stomping временных меток файлов, очистка системных журналов. По сути, каждый из этих методов по отдельности встречается в разных образцах малвари, но собранные вместе они превращают DEEPDOOR в нечто трудноуловимое.
Закрепление в системе реализовано через несколько параллельных механизмов: скрипты в папке автозагрузки Windows, ключи реестра Run, планировщик задач, а опционально — WMI-подписки. Но самое интересное — это «сторожевой» процесс (watchdog), который мониторит все созданные артефакты персистентности. Если защитник или антивирус удаляет один из них, watchdog тут же его воссоздаёт. Это делает ручное удаление вредоноса заметно сложнее.
Что касается масштабов кампании — исследователи Securonix характеризуют её как ограниченную и относительно таргетированную. Нет данных о массовых заражениях, нет чётких указаний на конкретные отрасли или географические регионы, которые атакуются систематически. Насколько атаки были успешными — тоже неизвестно.
Тем не менее исследователи предупреждают: модульная архитектура DEEPDOOR позволяет адаптировать его под самые разные сценарии. Python как язык реализации, опора на встроенные компоненты операционной системы вместо внешних инструментов, туннелинг через публичные сервисы — всё это части одной тенденции. Злоумышленники уходят от громоздкого кастомного ПО в сторону скриптовых фреймворков, которые сложнее детектировать и проще модифицировать.
Изображение носит иллюстративный характер
DEEPDOOR распространяется через фишинг — стандартный, проверенный вектор атаки. Жертва получает письмо, запускает вложение, и начинается цепочка заражения. Первым звеном служит батник
install_obf.bat, который отключает защитные механизмы Windows. Внутри этого же скрипта спрятан Python-имплант svc.py — он не хранится как отдельный файл на диске, а восстанавливается и запускается прямо во время выполнения. Это сокращает количество следов, которые могут найти криминалисты, и снижает шансы обнаружения традиционными антивирусами. Связь с командным сервером организована через публичный TCP-туннелинг-сервис bore[.]pub, написанный на Rust. Это нетривиальное решение: злоумышленникам не нужно разворачивать собственную инфраструктуру, а трафик к публичному сервису смешивается с обычной сетевой активностью и не вызывает подозрений у корпоративных межсетевых экранов. Адрес C2-сервера при этом не зашит в сам имплант, что дополнительно затрудняет анализ.
После установки соединения с оператором возможности DEEPDOOR оказываются весьма широкими. Это полноценный RAT: обратный шелл, разведка системы, кейлоггер, перехват буфера обмена, снятие скриншотов, доступ к веб-камере и запись звука через микрофон. Отдельно реализован модуль кражи учётных данных — он целенаправленно вытаскивает пароли из Google Chrome и Mozilla Firefox, обращается к Windows Credential Manager, извлекает SSH-ключи.
Особую угрозу представляет модуль для кражи облачных учётных данных. DEEPDOOR охотится за токенами и конфигурациями Amazon Web Services, Google Cloud и Microsoft Azure. Для компаний, которые держат критическую инфраструктуру в облаке, это потенциально означает полную компрометацию — не просто одна взломанная машина, а доступ ко всему, что находится за этими учётками.
Список техник обхода защиты у этого вредоноса действительно обширный. Тут и обнаружение песочниц, отладчиков и виртуальных машин, и патчинг AMSI (Anti-Malware Scan Interface), и патчинг ETW (Event Tracing for Windows), и анхукинг NTDLL. Дополнительно: вмешательство в работу Microsoft Defender, обход SmartScreen, подавление логирования PowerShell, очистка командной строки, stomping временных меток файлов, очистка системных журналов. По сути, каждый из этих методов по отдельности встречается в разных образцах малвари, но собранные вместе они превращают DEEPDOOR в нечто трудноуловимое.
Закрепление в системе реализовано через несколько параллельных механизмов: скрипты в папке автозагрузки Windows, ключи реестра Run, планировщик задач, а опционально — WMI-подписки. Но самое интересное — это «сторожевой» процесс (watchdog), который мониторит все созданные артефакты персистентности. Если защитник или антивирус удаляет один из них, watchdog тут же его воссоздаёт. Это делает ручное удаление вредоноса заметно сложнее.
Что касается масштабов кампании — исследователи Securonix характеризуют её как ограниченную и относительно таргетированную. Нет данных о массовых заражениях, нет чётких указаний на конкретные отрасли или географические регионы, которые атакуются систематически. Насколько атаки были успешными — тоже неизвестно.
Тем не менее исследователи предупреждают: модульная архитектура DEEPDOOR позволяет адаптировать его под самые разные сценарии. Python как язык реализации, опора на встроенные компоненты операционной системы вместо внешних инструментов, туннелинг через публичные сервисы — всё это части одной тенденции. Злоумышленники уходят от громоздкого кастомного ПО в сторону скриптовых фреймворков, которые сложнее детектировать и проще модифицировать.
