江蘇
關鍵詞
Python后門
安全研究人員發現一款名為DEEP,競然利用公共TCP隧道服務bore.pub進行C2控制,可竊取瀏覽器和云憑據(AWS、Google Cloud、Azure)。當前攻擊似乎有限,但具備高度模塊化,值得警惕。
威脅概述
項目
惡意軟件
DEEP(Python后門框架)
開發語言
Python(嵌入式)
C2通道
bore.pub(公共隧道服務)
目標
瀏覽器憑據、云憑據、SSH密鑰
Securonix安全研究團隊發現了這個高度隱蔽的后門框架。
攻擊鏈分析
入侵方式
攻擊從batch腳本(install_obf.bat)開始:
禁用Windows安全控制
動態提取嵌入式Python payload(svc.py)
通過多種機制建立持久化:
Startup文件夾腳本
注冊表Run鍵
計劃任務
WMI訂閱(可選)
無文件落地:Python payload直接嵌入在dropper腳本中,運行時提取重建,大大減少外部依賴和傳統檢測機會。
功能清單
一旦部署,DEEP:
功能
反向shell
遠程執行命令
系統偵察
收集主機信息
??鍵盤記錄
記錄用戶輸入
剪貼板監控
竊取復制內容
屏幕截圖
.capture屏幕
攝像頭訪問
遙控攝像頭
** Ambient錄音**
環境監聽
瀏覽器憑據
Chrome、Firefox
SSH密鑰
提取SSH密鑰
??云憑據
AWS、GCP、Azure
C2新玩法:公共隧道服務
為什么用bore.pub?
傳統C2需要自己搭建服務器,但DEEPbore.pub:
? 無需搭建專屬基礎設施
? 流量混入正常 traffic
? 不在payload中嵌入服務器信息
優勢:減少特征,快速切換目標。
防御規避
DEEP:
機制
功能
檢測
沙箱、調試器、虛擬機檢測
** patching**
AMSI、ETW patching
NTDLL unhooking
繞過安全檢測
?Defender干擾
Microsoft Defender篡改
SmartScreen繞過
繞過安全警告
日志清除
PowerShell日志抑制
持久化機制
多個自動持久化路徑:
Startup文件夾腳本
注冊表Run鍵
? 計劃任務
看門狗機制:自動重建被刪除的持久化文件
難以清除:即使刪除也會自動恢復。
現狀評估
根據Securonix研究:
"當前觀察到的攻擊似乎有限且有一定針對性,而非大規模廣泛傳播。"
但由于框架的模塊化特性,不同威脅參與者可能 adaptation 用于各種用例。
防御建議
強化終端檢測和響應(EDR)
監控異常Python進程
監控bore.pub等公共隧道服務的異常連接
加強云憑據保護(多因素認證)
定期審計啟動項和計劃任務
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
