新 Python 后门利用隧道服务窃取浏览器和云凭证

Source: The Hacker News

DEEP#DOOR 后门框架

网络安全研究人员披露了一种名为 DEEP#DOOR 的隐蔽 Python 后门框架的细节，该框架能够在受感染主机上建立持久访问并收集大量敏感信息。

入侵链

入侵链始于执行批处理脚本 (install_obf.bat)，该脚本会禁用 Windows 安全控制，动态提取嵌入的有效载荷，然后启动主要的 Python 后门组件。

功能

• 持久化：通过创建计划任务和注册表运行键在系统上保持存在。
• 数据外泄：窃取 Chrome、Edge 和 Firefox 浏览器的凭据、Cookie 和已保存密码。
• 信息收集：获取云服务令牌和 API 密钥（例如 AWS、Azure、GCP）。
• 利用 隧道服务将流量通过外部服务器路由，绕过出站防火墙规则。
• 执行 任意命令，下载额外模块，并进行横向移动。

检测建议

该后门使用自定义加密例程对网络流量进行混淆，使传统基于特征的工具难以检测。研究人员建议监控以下行为：

• 创建可疑的计划任务。
• 与已知隧道域的异常出站连接。
• 在异常位置出现 install_obf.bat 脚本。