Deep#Door: Backdoor tinh vi dựa trên Python cho phép gián điệp và phá hoại

Securonix vừa báo cáo về sự xuất hiện của một khung công cụ backdoor lén lút mới dựa trên Python, cung cấp cho kẻ tấn công khả năng thực thi lệnh từ xa và giám sát bền bỉ trên các máy tính Windows.

Mô tả malware

Chuỗi lây nhiễm của phần mềm độc hại này bắt đầu bằng việc thực thi một tập lệnh batch (script). Kịch bản này sẽ ngay lập tức vô hiệu hóa các điều khiển bảo mật của hệ thống, bao gồm SmartScreen, ghi log tường lửa, tính năng bảo vệ chống can thiệp của Defender và các chức năng của Antimalware Scan Interface (AMSI).

Cơ chế hoạt động và ẩn mình

Sau khi vô hiệu hóa các lớp bảo vệ, malware tải một payload Python được nhúng và thiết lập tính bền vững đa lớp bằng cách sửa đổi các khóa đăng ký Run, tạo tác vụ lập lịch và đặt các tập lệnh vào thư mục Startup.

Securonix giải thích rằng bằng cách nhúng payload trực tiếp vào phần thân của tập lệnh batch, nhà phát triển malware đã đơn giản hóa việc phân phối và né tránh sự phát hiện dựa trên mạng. Ngoài ra, thư mục mà backdoor Python được triển khai sẽ bắt chước các dịch vụ Windows hợp pháp để hòa trộn vào các hoạt động hệ thống bình thường.

Tập lệnh sẽ tái tạo payload được nhúng — một backdoor được đặt tên là Deep#Door — trực tiếp trong bộ nhớ và trên đĩa, sau đó khởi tạo kênh lệnh.

Khả năng chống phân tích và giám sát

Khi được thực thi tại lần đăng nhập người dùng, Deep#Door thực hiện các kiểm tra xác thực môi trường để đảm bảo nó không chạy trong máy ảo (VM), hộp cát (sandbox) hoặc môi trường phân tích. Để làm điều này, nó kiểm tra các trình gỡ lỗi, các hiện vật ảo hóa cụ thể cũng như các đặc điểm hành vi và môi trường.

Sau khi kích hoạt, backdoor cho phép thực thi lệnh shell, thao tác tệp, trinh sát hệ thống và mạng. Các hoạt động giám sát bao gồm ghi nhật ký bàn phím (keylogging), giám sát clipboard, chụp màn hình, truy cập micrô và webcam, cũng như thu thập thông tin xác thực và khóa SSH.

Bảo mật mạng

Khả năng phá hoại

Đáng lo ngại hơn, malware có thể chuyển từ hoạt động gián điệp sang các hoạt động phá hoại. Nó có khả năng ghi đè Bản ghi khởi động chính (Master Boot Record - MBR), buộc hệ thống bị sập và làm cạn kiệt tài nguyên hệ thống bằng cách tạo ra nhiều quy trình.

"Deep#Door kết hợp một tập hợp các kỹ thuật né tránh bảo vệ đa lớp và rất hung hăng, được thiết kế để vượt qua các điều khiển bảo mật, né tránh phát hiện và làm phức tạp quá trình phân tích pháp y. Các cơ chế này hoạt động cả trước và trong quá trình thực thi để đảm bảo implant vẫn lẩn khuất trong suốt vòng đời của nó," Securonix lưu ý.

Kỹ thuật giao tiếp

Malware này xây dựng động một loạt các cổng giao tiếp có thể có, cho phép nó tiếp cận cơ sở hạ tầng chỉ huy và kiểm soát (C&C) ngay cả khi các cổng cụ thể bị chặn. Nó sử dụng đường hầm công cộng để giao tiếp kín đáo và linh hoạt, hòa trộn với lưu lượng truy cập hợp pháp.

"Sự kết hợp giữa tính bền vững đa lớp, khả năng né tránh bảo mật nâng cao (như vá AMSI/ETW, unhook ntdll) và các kỹ thuật ẩn mình trong bộ nhớ cho phép implant hoạt động với dấu vết pháp y tối thiểu trong khi duy trì quyền truy cập lâu dài," Securonix nhận định, nhấn mạnh rằng Deep#Door có khả năng cao được xây dựng cho mục đích gián điệp.