Siber güvenlik araştırmacıları, Windows sistemlerini hedef alan ve tespit edilmesi oldukça zor olan yeni bir Python tabanlı backdoor keşfetti. Deep#Door adı verilen bu kötü amaçlı yazılım, obfuske edilmiş bir batch script kullanarak sisteme sızıyor ve geleneksel güvenlik önlemlerini aşarak uzun süreli gözetleme yapabiliyor. Securonix tarafından yapılan araştırmaya göre, bu backdoor, yükünü harici bir sunucudan almak yerine doğrudan dropper script içine gömülü Python koduyla çalışıyor.
Deep#Door'un en dikkat çekici özelliklerinden biri, kendini gizleme ve tespit edilmeme yeteneği. Script, Windows güvenlik özelliklerini devre dışı bırakarak ve başlangıç klasörü, kayıt defteri anahtarları ve zamanlanmış görevler gibi birden fazla kalıcılık mekanizması kullanarak sisteme yerleşiyor. Ayrıca, PowerShell gibi yerel araçları kullanarak kötü amaçlı aktiviteyi meşru sistem davranışıyla karıştırıyor ve statik tespitten kaçıyor. Yük, çalışma zamanında hem bellekte hem de diskte yeniden oluşturuluyor.
Backdoor, komuta ve kontrol (C2) iletişimi için genel TCP tünelleme hizmetlerini kullanıyor. Bu sayede, özel bir C2 sunucusuna ihtiyaç duymadan trafiği meşru bağlantılarla karıştırabiliyor. Deep#Door, keylogging, ekran görüntüsü yakalama, mikrofon kaydı ve tarayıcı kimlik bilgisi toplama gibi birçok yeteneğe sahip. Ayrıca, SSH anahtarları ve bulut kimlik doğrulama token'larını çalarak kurumsal ağlarda yanal hareket imkanı sağlıyor.
Sistem Güvenliği
Gelişmiş anti-analiz özellikleri de bulunan Deep#Door, sanal makineleri, hata ayıklama araçlarını ve sandbox ortamlarını tespit ederek aktif hale gelmeden önce kendini gizliyor. Windows telemetri sistemlerini yamalıyor ve olay günlüklerini temizleyerek adli incelemeyi zorlaştırıyor. Çok katmanlı kalıcılık mekanizmaları ve watchdog süreçleri sayesinde, kaldırılsa bile kendini yeniden yapılandırabiliyor. Bu özellikler, Deep#Door'u hem casusluk hem de sabotaj amaçlı kullanılabilecek tehlikeli bir araç haline getiriyor.