Deep#Door Python Backdoor: Windows Sistemlerinde Fark Edilmeden Sızma ve Uzun Süreli Casusluk Yazılım

Deep#Door Python Backdoor: Windows Sistemlerinde Fark Edilmeden Sızma ve Uzun Süreli Casusluk

Deep#Door, Windows sistemlerinde obfuscated batch script ile güvenlik önlemlerini aşarak kalıcı sızma ve uzun süreli casusluk yapan bir Python backdoo

Siber güvenlik araştırmacıları, Windows sistemlerini hedef alan ve uzun süreli gözetleme ile kimlik bilgisi hırsızlığı yapabilen yeni bir Python tabanlı backdoor tespit etti. Securonix tarafından yapılan araştırmaya göre, Deep#Door adı verilen bu kötü amaçlı yazılım, obfuscated batch script kullanarak geleneksel tespit yöntemlerini atlatıyor ve kalıcı bir implant yerleştiriyor. Çoğu loader'ın aksine, zararlı Python kodunu doğrudan dropper script'in içine gömüyor. Bu kendi kendine yeten yapı, ağ göstergelerini azaltıyor ve yükün hem bellekte hem de diskte çalışma zamanında yeniden oluşturulmasına olanak tanıyor.

Saldırı zincirinin merkezinde, Windows güvenlik özelliklerini devre dışı bırakan ve gömülü Python yükünü çıkaran ağır şekilde obfuscated batch dosyası yer alıyor. Script, başlangıç klasörü girişleri, kayıt defteri çalıştırma anahtarları ve zamanlanmış görevler gibi birden fazla mekanizma aracılığıyla kalıcılık sağlıyor. Securonix araştırmacıları, bu yöntemin script tabanlı sızma tekniklerine doğru daha geniş bir geçişi yansıttığını belirtiyor. PowerShell gibi yerel araçlara güvenen saldırganlar, kötü amaçlı etkinlikleri meşru sistem davranışıyla harmanlayarak statik tespitten kaçabiliyor. Loader ayrıca kendi içeriğini okuyarak gömülü yükü çıkaran kendine referanslı bir ayrıştırma tekniği kullanıyor. Bu, ek indirme ihtiyacını ortadan kaldırıyor ve ağ izleme yoluyla tespit edilmesi daha zor olan dosyasız çalışma modellerini taklit ediyor.

Backdoor devreye alındıktan sonra, genel bir TCP tünelleme hizmeti aracılığıyla saldırgan altyapısıyla iletişim kuruyor. Bu, özel komuta ve kontrol sunucularına olan ihtiyacı ortadan kaldırıyor ve kötü amaçlı trafiğin meşru bağlantılarla karışmasına izin veriyor. İmplant, tuş kaydı, ekran görüntüsü yakalama, mikrofon kaydı ve tarayıcı kimlik bilgisi toplama gibi çeşitli yetenekleri destekliyor. Ayrıca SSH anahtarlarını ve bulut kimlik doğrulama token'larını çıkararak kurumsal ortamlarda yanal hareketi mümkün kılıyor. Geniş anti-analiz özellikleri, tespiti daha da karmaşık hale getiriyor. Kötü amaçlı yazılım, etkinleştirilmeden önce sanal makineleri, hata ayıklama araçlarını ve sandbox ortamlarını kontrol ediyor. Ayrıca Windows telemetri sistemlerini yamalıyor ve adli görünürlüğü sınırlamak için olay günlüklerini temizliyor.

Teknik Analiz

Deep#Door, katmanlı kalıcılık mekanizmaları ve bileşenler kaldırılırsa geri yükleyen watchdog süreçleri aracılığıyla erişimi sürdürüyor. İsteğe bağlı WMI abonelikleri, geleneksel başlangıç yöntemlerinin ötesinde ek bir gizli dayanak sağlıyor. Gözetlemenin yanı sıra, kötü amaçlı yazılım sistem çökmeleri ve önyükleme kaydının üzerine yazma gibi yıkıcı yetenekler de içeriyor. Bu özellikler, saldırganın hedeflerine bağlı olarak casusluk ve kesinti için kullanılabileceğini gösteriyor. Bulgular, tehdit aktörlerinin geleneksel ikili dosyaların yerini modüler, script tabanlı çerçevelerin aldığı sürekli bir evrimi yansıtıyor. Bellek içi yürütme, genel altyapı ve agresif savunma kaçınmasını birleştiren Deep#Door, modern kötü amaçlı yazılımların ele geçirilmiş sistemlerde minimum görünürlükle nasıl çalışabileceğini gösteriyor.

Paylaş: