Windows システムを標的とする長期監視と認証情報盗取が可能なステルス Python ベースのバックドア フレームワークが発見されました。
Securonixからの研究によると、Deep#Doorと呼ばれるマルウェアは、難読化されたバッチスクリプトを使用して従来の検出方法を回避しながら永続的なインプラントをデプロイします。
外部サーバからペイロードを取得する多くのローダーとは異なり、Deep#Doorはその悪意のあるPythonコードをドロッパースクリプト内に直接埋め込みます。
このセルフコンテインドアプローチはネットワークインジケータを削減し、マルウェアが実行中にメモリとディスク上の両方でペイロードを再構成することを可能にします。
スクリプトベースのローダーがステルスデプロイメントを実現
攻撃チェーンの中核にあるのは、埋め込まれたPythonペイロードを抽出する前にWindowsセキュリティ機能を無効にする、大きく難読化されたバッチファイルです。スクリプトは、スタートアップフォルダエントリ、レジストリ実行キー、スケジュールされたタスクなど、複数のメカニズムを通じて永続性を確立します。
Securonixの研究者は、この方法がスクリプト駆動の侵入技術への広範な転換を反映していることに注目しました。PowerShellなどのネイティブツールに依存することで、攻撃者は悪意のある活動を正当なシステム動作とブレンドし、静的検出を回避できます。
ローダーはまた、自己参照解析技術を使用して、埋め込まれたペイロードを抽出するために独自のコンテンツを読み取ります。これにより追加ダウンロードの必要性が排除され、ネットワーク監視を通じて検出が難しいファイルレス実行パターンが模倣されます。
-
実行時に再構成される埋め込みPythonペイロード
-
Windows Management Instrumentation(WMI)サブスクリプションを含む複数の永続性メソッド
-
Windows Defenderとログを無効化するようなセキュリティ制御
トンネリングインフラストラクチャがC2を隠す
デプロイされると、バックドアは公開TCPトンネリングサービス経由で攻撃者インフラストラクチャと通信します。これにより、専用のコマンドアンドコントロール(C2)サーバーの必要性が削除され、悪意のあるトラフィックを正当な接続とブレンドできます。
インプラントは、キーロギング、スクリーンショット取得、マイク録音、ブラウザ認証情報収集を含む複数の機能をサポートしています。SSHキーとクラウド認証トークンも抽出でき、エンタープライズ環境全体での横方向の移動を可能にします。
バックドアインプラントの詳細: 新しいFlexibleFerretマルウェアチェーンがGoバックドアでmacOSをターゲット
広範な反分析機能により検出がさらに複雑になります。マルウェアは起動前に仮想マシン、デバッグツール、サンドボックス環境をチェックします。コアWindowsテレメトリシステムにもパッチを当て、イベントログをクリアしてフォレンジック可視性を制限します。
「このデザインはネットワークベースの検出機会を大幅に削減し、制限された環境への配信を簡素化します」とSecuronix研究者は説明しました。
高度な回避技術を備えた永続的なアクセス
Deep#Doorは階層化された永続性メカニズムと、削除された場合にコンポーネントを復元するウォッチドッグプロセスを通じてアクセスを維持します。
オプションのWMIサブスクリプションは、従来のスタートアップメソッド以外に追加のステルスな足がかりを提供します。
監視を超えて、マルウェアはシステムクラッシュやブートレコード上書きなどの破壊的な機能を含みます。これらの機能は、攻撃者の目的に応じてスパイ活動と混乱の両方に使用される可能性があることを示唆しています。
これらの知見は、モジュール式スクリプトベースのフレームワークが従来のバイナリに取って代わる脅威アクター技術の継続的な進化を反映しています。
メモリ内実行、公開インフラストラクチャ、積極的な防御回避を組み合わせることで、Deep#Doorは現代的なマルウェアが侵害されたシステム全体で最小限の可視性でどのように動作できるかを示します。
翻訳元: https://www.infosecurity-magazine.com/news/deepdoor-python-backdoor-windows/
