Deep#Door Python Backdoor'u Windows Sistemlerini Hedef Alıyor: Tespit Edilmeden Uzun Süreli Casusluk Siber Güvenlik

Deep#Door Python Backdoor'u Windows Sistemlerini Hedef Alıyor: Tespit Edilmeden Uzun Süreli Casusluk

Python tabanlı Deep#Door backdoor, Windows sistemlerinde tespit edilmeden uzun süreli gözetleme ve kimlik bilgisi çalma yetenekleriyle dikkat çekiyor.

Siber güvenlik araştırmacıları, Windows sistemlerini hedef alan ve uzun süreli gözetleme ile kimlik bilgisi hırsızlığı yapabilen gizli bir Python tabanlı backdoor keşfetti. Securonix tarafından yapılan araştırmaya göre Deep#Door adı verilen bu kötü amaçlı yazılım, obfuske edilmiş bir batch script kullanarak kalıcı bir implant yerleştiriyor ve geleneksel tespit yöntemlerini atlıyor. Çoğu yükleyicinin aksine, Deep#Door kötü amaçlı Python kodunu doğrudan damla (dropper) script içine gömüyor. Bu kendi kendine yeten yaklaşım, ağ göstergelerini azaltıyor ve çalışma sırasında yükünü hem bellekte hem de diskte yeniden oluşturabiliyor.

Saldırı zincirinin merkezinde, Windows güvenlik özelliklerini devre dışı bırakan ve gömülü Python yükünü çıkaran ağır şekilde obfuske edilmiş bir batch dosyası bulunuyor. Script, başlangıç klasörü girdileri, kayıt defteri çalıştırma anahtarları ve zamanlanmış görevler gibi birden fazla kalıcılık mekanizması kullanıyor. Araştırmacılar, bu yöntemin script tabanlı saldırı tekniklerine doğru daha geniş bir kaymayı yansıttığını belirtiyor. Yükleyici ayrıca, kendi içeriğini okuyarak gömülü yükü çıkaran kendine referanslı bir ayrıştırma tekniği kullanıyor. Bu, ek indirme ihtiyacını ortadan kaldırıyor ve ağ izleme yoluyla tespit edilmesi daha zor olan dosyasız çalışma desenlerini taklit ediyor.

Deep#Door, konuşlandırıldıktan sonra genel bir TCP tünelleme hizmeti aracılığıyla saldırgan altyapısıyla iletişim kuruyor. Bu, özel komuta ve kontrol (C2) sunucularına olan ihtiyacı ortadan kaldırıyor ve kötü amaçlı trafiğin meşru bağlantılarla karışmasını sağlıyor. İmplant, tuş kaydı, ekran görüntüsü yakalama, mikrofon kaydı ve tarayıcı kimlik bilgisi toplama gibi çeşitli yetenekleri destekliyor. Ayrıca SSH anahtarlarını ve bulut kimlik doğrulama tokenlarını da çıkarabiliyor, böylece kurumsal ortamlarda yanal hareket imkanı sağlıyor. Kapsamlı anti-analiz özellikleri, etkinleştirmeden önce sanal makineleri, hata ayıklama araçlarını ve sandbox ortamlarını kontrol ediyor.

Sonuç ve Değerlendirme

Deep#Door, katmanlı kalıcılık mekanizmaları ve bileşenleri kaldırılırsa geri yükleyen bekçi (watchdog) süreçleri aracılığıyla erişimini sürdürüyor. İsteğe bağlı WMI abonelikleri, geleneksel başlangıç yöntemlerinin ötesinde ek bir gizli dayanak noktası sağlıyor. Gözetlemenin ötesinde, kötü amaçlı yazılım sistem çökmeleri ve önyükleme kaydı üzerine yazma gibi yıkıcı yetenekler de içeriyor. Bu özellikler, saldırganın hedeflerine bağlı olarak hem casusluk hem de kesinti için kullanılabileceğini gösteriyor. Deep#Door, bellek içi yürütme, genel altyapı ve agresif savunma atlatma yöntemlerini birleştirerek modern kötü amaçlı yazılımların ele geçirilmiş sistemlerde minimum görünürlükle nasıl çalışabileceğini gösteriyor.

Paylaş: