Deep#Door Python Backdoor: Windows Sistemlerinde Tespit Edilmeyen Gizli Arka Kapı Yazılım

Deep#Door Python Backdoor: Windows Sistemlerinde Tespit Edilmeyen Gizli Arka Kapı

Python tabanlı Deep#Door backdoor, Windows sistemlerinde obfuske batch script ile gizlice dağıtılıyor ve uzun süreli gözetleme yapıyor.

Siber güvenlik araştırmacıları, Windows sistemlerini hedef alan ve uzun süreli gözetleme ile kimlik bilgisi hırsızlığı yapabilen gizli bir Python tabanlı arka kapı keşfetti. Securonix tarafından yapılan analizlere göre Deep#Door adı verilen bu kötü amaçlı yazılım, geleneksel algılama yöntemlerini atlatmak için obfuske edilmiş bir batch betiği kullanarak kalıcı bir implant dağıtıyor. Birçok yükleyicinin aksine Deep#Door, kötü amaçlı Python kodunu doğrudan düşürücü betiğin içine gömüyor. Bu kendine yeten yaklaşım, ağ göstergelerini azaltıyor ve yazılımın çalışma sırasında yükünü hem bellekte hem de diskte yeniden oluşturmasına olanak tanıyor.

Saldırı zincirinin merkezinde, Windows güvenlik özelliklerini devre dışı bırakan ve gömülü Python yükünü çıkaran yoğun şekilde obfuske edilmiş bir batch dosyası yer alıyor. Betik, başlangıç klasörü girişleri, kayıt defteri çalıştırma anahtarları ve zamanlanmış görevler dahil olmak üzere birden fazla kalıcılık mekanizması aracılığıyla varlığını sürdürüyor. Securonix araştırmacıları, bu yöntemin betik tabanlı sızma tekniklerine doğru daha geniş bir geçişi yansıttığını belirtiyor. Saldırganlar, PowerShell gibi yerel araçları kullanarak kötü amaçlı etkinlikleri meşru sistem davranışıyla harmanlayabiliyor ve statik algılamadan kaçabiliyor.

Arka kapı dağıtıldıktan sonra, saldırgan altyapısıyla genel bir TCP tünelleme hizmeti aracılığıyla iletişim kuruyor. Bu, özel komuta ve kontrol (C2) sunucularına olan ihtiyacı ortadan kaldırıyor ve kötü amaçlı trafiğin meşru bağlantılarla karışmasına izin veriyor. İmplant, tuş kaydı, ekran görüntüsü yakalama, mikrofon kaydı ve tarayıcı kimlik bilgisi toplama gibi çeşitli yetenekleri destekliyor. Ayrıca SSH anahtarlarını ve bulut kimlik doğrulama belirteçlerini çıkararak kurumsal ortamlarda yanal hareketi mümkün kılıyor. Kapsamlı anti-analiz özellikleri, algılamayı daha da zorlaştırıyor; yazılım, etkinleştirilmeden önce sanal makineleri, hata ayıklama araçlarını ve korumalı alan ortamlarını kontrol ediyor.

Deep#Door, katmanlı kalıcılık mekanizmaları ve bileşenler kaldırıldığında bunları geri yükleyen bekçi süreçleri aracılığıyla erişimi sürdürüyor. İsteğe bağlı WMI abonelikleri, geleneksel başlangıç yöntemlerinin ötesinde ek bir gizli dayanak noktası sağlıyor. Gözetlemenin ötesinde, yazılım sistem çökmeleri ve önyükleme kaydı üzerine yazma gibi yıkıcı yetenekler de içeriyor. Bu özellikler, saldırganların hedeflerine bağlı olarak hem casusluk hem de kesinti için kullanılabileceğini gösteriyor. Bulgular, tehdit aktörlerinin taktiklerinde modüler, betik tabanlı çerçevelerin geleneksel ikili dosyaların yerini aldığı sürekli bir evrimi yansıtıyor. Bellek içi yürütme, genel altyapı ve agresif savunma kaçınma yöntemlerini birleştiren Deep#Door, modern kötü amaçlı yazılımların ele geçirilen sistemlerde minimum görünürlükle nasıl çalışabileceğini gösteriyor.

Paylaş: