Siber güvenlik araştırmacıları, Windows sistemlerini hedef alan ve uzun süreli gözetleme ile kimlik bilgilerini çalma yeteneğine sahip yeni bir Python tabanlı backdoor keşfetti. Securonix tarafından yapılan analizlere göre, Deep#Door adı verilen bu kötü amaçlı yazılım, obfuske edilmiş bir batch script kullanarak kalıcı bir implant yerleştiriyor ve geleneksel tespit yöntemlerini atlatıyor. Diğer birçok yükleyicinin aksine, Deep#Door kötü amaçlı Python kodunu doğrudan dropper script'in içine gömüyor. Bu kendi kendine yeten yaklaşım, ağ tabanlı göstergeleri azaltıyor ve yazılımın çalışma sırasında yükünü hem bellekte hem de diskte yeniden oluşturmasına olanak tanıyor.
Saldırı zincirinin merkezinde, Windows güvenlik özelliklerini devre dışı bırakan ve gömülü Python yükünü çıkaran ağır şekilde obfuske edilmiş bir batch dosyası bulunuyor. Bu script, başlangıç klasörü girişleri, kayıt defteri çalıştırma anahtarları ve zamanlanmış görevler gibi birden çok mekanizma aracılığıyla kalıcılık sağlıyor. Securonix araştırmacıları, bu yöntemin script tabanlı sızma tekniklerine doğru daha geniş bir kaymayı yansıttığını belirtiyor. Saldırganlar, PowerShell gibi yerel araçları kullanarak kötü amaçlı etkinlikleri meşru sistem davranışıyla harmanlayabiliyor ve statik tespitlerden kaçınabiliyor.
Backdoor yerleştirildikten sonra, saldırgan altyapısıyla genel bir TCP tünelleme hizmeti aracılığıyla iletişim kuruyor. Bu, özel komuta ve kontrol (C2) sunucularına olan ihtiyacı ortadan kaldırarak kötü amaçlı trafiğin meşru bağlantılarla karışmasına olanak tanıyor. İmplant, tuş kaydı, ekran görüntüsü yakalama, mikrofon kaydı ve tarayıcı kimlik bilgisi toplama gibi çeşitli yetenekleri destekliyor. Ayrıca SSH anahtarlarını ve bulut kimlik doğrulama token'larını da çıkararak kurumsal ortamlarda yanal hareketliliği mümkün kılıyor.
Detaylar ve Etkileri
Deep#Door, katmanlı kalıcılık mekanizmaları ve bileşenler kaldırıldığında geri yükleyen bekçi süreçleri aracılığıyla erişimi sürdürüyor. İsteğe bağlı WMI abonelikleri, geleneksel başlangıç yöntemlerinin ötesinde ek bir gizli dayanak noktası sağlıyor. Gözetlemenin ötesinde, yazılım sistem çökmeleri ve önyükleme kaydının üzerine yazma gibi yıkıcı yetenekler de içeriyor. Bu, saldırganın hedeflerine bağlı olarak hem casusluk hem de kesinti için kullanılabileceğini gösteriyor. Bulgular, tehdit aktörlerinin geleneksel ikili dosyalar yerine modüler, script tabanlı çerçeveler kullandığı sürekli bir evrimi yansıtıyor.