Киберпреступники всё чаще отказываются от классических исполняемых файлов в пользу скриптовых фреймворков, работающих на легитимных компонентах системы. Такой подход позволяет обходить сигнатурные антивирусы и маскировать вредоносную активность под обычные процессы. Очередным подтверждением этого тренда стала кампания Deep#Door, в рамках которой злоумышленники применяют Python-бэкдор, полностью упакованный в загрузчик на языке batch.
Описание
Вредоносная программа начинается с запуска обфусцированного пакетного скрипта install_obf.bat. В отличие от традиционных загрузчиков, которые скачивают полезную нагрузку из сети, этот скрипт содержит внутри себя весь код бэкдора. Он считывает собственное содержимое с помощью PowerShell, выделяет участок между маркерами #PYTHON_START и #PYTHON_END, а затем сохраняет полученную строку в файл svc.py в каталоге %LOCALAPPDATA%\SystemServices\. Название папки имитирует системные службы Windows, что помогает избежать подозрений при беглом осмотре.
Исследователи из Securonix обнаружили, что сам Python-код дополнительно защищён несколькими слоями обфускации. Для хранения конфигурационных данных используется кодировка Base64, а для маскировки строк и фрагментов полезной нагрузки применяется XOR с ключом 0x55. При этом адрес командного сервера заранее не жёстко задан: бэкдор динамически генерирует диапазон портов 41234-41243 и пытается подключиться к сервису bore.pub - публичному TCP-туннелю, который позволяет злоумышленнику получить доступ к внутренней сети жертвы без выделенной инфраструктуры.
Перед запуском основного модуля загрузчик проводит масштабное подавление защитных механизмов. Через PowerShell отключается мониторинг реального времени Windows Defender, его поведенческий анализ и облачная проверка. В реестре блокируется SmartScreen, а также отключаются такие ключевые средства телеметрии, как журналирование скриптов PowerShell и трассировка событий ETW (Event Tracing for Windows). Дополнительно останавливается ведение журналов брандмауэра, чтобы скрыть исходящие соединения.
Для закрепления в системе Deep#Door использует сразу несколько механизмов. На этапе первичной установки скрипт помещает VBS-загрузчик в папку автозагрузки пользователя и добавляет запись в ветку реестра Run. Кроме того, в самой полезной нагрузке работает фоновый поток-страж, который проверяет наличие этих артефактов и восстанавливает их при удалении. По желанию оператора может быть активирована подписка WMI (инструментарий управления Windows), запускающая бэкдор по системным событиям.
Перед установкой связи с управляющим сервером имплант выполняет глубокую проверку окружения. Он выявляет отладчики через API IsDebuggerPresent и NtQueryInformationProcess, анализирует флаги гипервизора в CPUID, ищет характерные записи реестра для VMware, VirtualBox и Hyper-V, а также оценивает количество оперативной памяти и активность мыши. При обнаружении признаков песочницы или виртуальной машины код переходит в спящий режим, уходя от анализа.
Взаимодействие с атакующим строится по протоколу вызов-ответ. После подключения к туннелю сервер отправляет случайную строку, а клиент вычисляет хеш SHA256 от неё и пароля. Только после успешной аутентификации начинается обмен командами. Такая схема исключает перехват управления посторонними.
Возможности бэкдора впечатляют. Оператор может выполнять произвольные shell-команды, загружать и выгружать файлы, сканировать порты внутри сети. Модуль слежения включает кейлоггер (захват нажатий клавиш), запись буфера обмена, создание снимков экрана, доступ к веб-камере и микрофону. Для кражи учётных данных имплант извлекает пароли из браузеров Chrome и Edge, файлы конфигурации облачных провайдеров AWS и Azure, SSH-ключи и записи диспетчера учётных данных Windows.
Особого внимания заслуживают методы обхода современных средств защиты. Вредоносная программа модифицирует AMSI (интерфейс проверки скриптов) в памяти, чтобы все PowerShell-команды считались безвредными. Она восстанавливает оригинальную копию библиотеки ntdll, удаляя хуки, установленные решениями класса EDR (системы обнаружения и реагирования на конечных точках). Строка командной строки стирается в памяти, а временные метки файлов подменяются на даты легитимных системных компонентов.
По оценкам специалистов, Deep#Door представляет серьёзную угрозу для организаций любого масштаба. Его скриптовая архитектура позволяет обходить традиционные средства защиты, а использование публичных туннелей затрудняет сетевую аналитику. Многоуровневая устойчивость делает удаление вредоносной программы трудоёмкой задачей, требующей очистки реестра, автозагрузки, планировщика задач и WMI одновременно.
Для обнаружения подобных атак специалистам по информационной безопасности следует обращать внимание на аномальное поведение Windows PowerShell, в частности на команды, читающие собственное содержимое скрипта. Необходимо контролировать изменения конфигурации Windows Defender и реестровых ключей, отвечающих за ведение журналов. Исходящие соединения на публичные туннельные сервисы, такие как bore.pub, должны быть взяты под особый контроль. Кроме того, стоит внедрить мониторинг вызова функций VirtualProtect и WriteProcessMemory, которые часто используются для модификации памяти.
Важно помнить, что даже безобидный на первый взгляд пакетный файл, запущенный пользователем, может инициировать целую цепочку атак. Обучение сотрудников правилам безопасности при работе с вложениями электронной почты и файлами из ненадёжных источников остаётся одним из самых эффективных способов предотвратить заражение. Только комбинация технических мер и человеческой бдительности способна дать отпор таким сложным угрозам, как Deep#Door.
Индикаторы компрометации
Domains
- bore.pub
SHA256
- 2c2386ef6416ce821e377223d2a3b79f2b7ea9e8dc9ed2549f4676fe060b7ddd
- 4e3ae82eed8980bbc396020c197c767ba22483a124a00ee04c264dd394378485
- 84515368e2f8ff4467e38bf48dabb267b5b895f54df5be5ceb5428a414ae15e9
- c6f00569913cd6bd1017b26bd33bbb28f1d92b9c9e0f830adcc24af59e181d3e
