攻击特征分析

Securonix安全研究人员发现名为Deep#Door的复杂恶意软件活动。攻击者使用基于Python的隐蔽后门，通过出人意料的简单投递方式实现对Windows系统的深度持久化访问。该活动的突出特点不仅在于其功能，更在于其精巧的规避检测机制。

Securonix发布的报告指出:"与传统依赖外部载荷下载的恶意软件加载器不同，Deep#Door将其Python植入程序直接嵌入到释放器脚本中，并在执行时于内存和磁盘中重建。随后植入程序会与托管在bore[.Jpub(一项公开的TCP隧道服务)上的攻击者基础设施建立通信，无需暴露专用C2服务器即可实现隐蔽远程访问。

攻击技术细节

攻击链始于单个批处理文件install_obf.bat。执行时，该脚本会读取自身内容，直接解析出隐藏在脚本中的Python载荷。提取出的svc.py文件会被静默写入%LOCALAPPDATA%\SystemServices\目录，该文件夹名称特意设计为与合法Windows组件相似。

这种自引用技术是恶意软件难以早期检测的关键原因。在初始阶段没有可疑下载行为、不联系外部URL、也没有可标记的编译可执行文件。所有操作都发生在一个看似常规维护工具的脚本内部。

加载器会首先系统性地破坏主机防御：禁用Windows Defender、关闭PowerShell日志记录、抑制防火墙日志、绕过SmartScreen。当Python植入程序激活时，系统已处于完全无防护状态。

报告补充道："该恶意软件包含众多高级反分析和防御规避机制，包括沙箱检测、AMSI和ETW补丁、ntdll脱钩、篡改Windows Defender、清除命令行记录、时间戳覆盖以及日志清除。"

持久化机制

Deep#Door采用多管齐下的持久化策略：同时植入Windows启动文件夹、注册表Run键、计划任务甚至WMI事件订阅。此外，后台监视线程会持续检查这些持久化节点，自动恢复任何被删除的条目。这意味着仅清除单一组件无法彻底清除感染，必须同时处理所有机制，使得手动修复异常困难。

激活前，恶意软件会执行系列检查以确认运行环境是否为真实机器。它会检测调试器、虚拟机特征、沙箱指标（如通用用户名或低系统资源）乃至Wireshark或IDA Pro等安全研究工具。发现可疑迹象即停止运行，有效规避自动化扫描平台的检测。

隐蔽通信技术

Deep#Door采用非常规C2通信方式：通过合法公共TCP隧道服务bore.pub建立连接，而非更易被检测拦截的专用攻击服务器。它会扫描动态端口范围寻找活动隧道，使用质询-响应机制认证，建立看似普通隧道流量的隐蔽通道。

网络安全公司指出：这种方案具有三重优势：

（1）允许攻击者在不开放防火墙端口的情况下将内部服务暴露至互联网

（2）消除对攻击者自有基础设施的依赖

（3）使恶意流量与合法隧道使用混为一体

由于流量与同一服务的合法使用混杂，这显著增加了溯源难度并降低了基于网络的检测可靠性

功能与防御建议

激活后的植入程序具备完整远程访问功能：执行shell命令、截屏、录音、记录键盘输入、访问摄像头、窃取浏览器密码、SSH密钥与云凭证、扫描内网。极端情况下还能覆写主引导记录或强制系统崩溃，表明其可根据需要从间谍活动转向破坏行动。

Securonix建议将检测重点放在行为特征而非文件签名上：引用%~f0（自文件标记）的PowerShell命令、向SystemServices目录的文件写入、修改Defender设置或事件日志服务、以及通向bore.pub端口41234-41243的出站连接。

报告总结称："Deep#Door凸显了威胁行为者持续向无文件、脚本驱动的入侵框架演进，这类框架高度依赖原生系统组件和Python等解释型语言。通过将载荷直接嵌入释放器并在运行时提取，恶意软件大幅减少外部依赖并限制传统检测机会。使用公共隧道基础设施（bore[.]pub）进一步消除了对专用攻击服务器的需求，实现了与合法流量模式混为一体的隐蔽弹性C2通信。"