Deep#Door深度解析:隐藏在批处理脚本中的2026年新型Windows RAT技术革命
一、引言:无文件攻击的新里程碑
2026年4月28日,全球知名网络安全公司Securonix威胁研究团队发布紧急预警,披露了一款名为Deep#Door的新型Python远程访问木马。这款恶意软件的出现,标志着脚本驱动型无文件攻击技术进入了一个全新的阶段——它不再依赖传统的外部载荷下载,而是将完整的Python后门直接内嵌于高度混淆的批处理脚本中,通过自解析技术在内存中重建并执行,全程几乎不留下任何可被传统特征检测工具识别的痕迹。
与以往的RAT相比,Deep#Door展现出了令人震惊的技术成熟度和隐蔽性。它不仅能够系统性地摧毁Windows系统的所有核心安全机制,还采用了四重持久化技术配合看门狗线程,确保即使某个持久化点被发现并删除,后门也能在几秒钟内自动重建。更令人担忧的是,Deep#Door放弃了传统的专用C2服务器,转而使用bore.pub——一个基于Rust编写的公共TCP隧道服务进行通信,使得恶意流量完美地伪装成正常的开发者隧道流量,几乎无法通过传统的网络监控手段识别。
截至2026年5月4日,虽然Securonix表示尚未发现大规模爆发的迹象,但观察到的攻击活动具有明显的针对性,主要目标锁定在软件开发人员、DevOps工程师以及云服务管理员等高价值人群。攻击者通过窃取这些人员的浏览器凭证、云服务令牌和SSH密钥,可以轻松绕过多因素认证(MFA),获得对企业核心基础设施的长期访问权限。
本文将从技术角度对Deep#Door进行全方位的深度解析,揭示其攻击链的每一个环节,分析其核心技术创新点,并提供一套完整的检测、防御和应急响应方案,帮助企业和安全从业者有效应对这一新型威胁。
二、Deep#Door威胁概述
Deep#Door是一款由专业威胁组织开发的模块化Python RAT框架,其设计理念完全围绕"隐蔽性"和"持久性"展开。与传统的编译型RAT不同,Deep#Door选择了批处理脚本作为初始载体,利用Windows系统原生支持的脚本解释器,避免了引入可疑的可执行文件,从而大幅降低了被静态检测工具发现的概率。
2.1 基本信息
- 发现时间:2026年4月28日
- 发现机构:Securonix Threat Research
- 威胁类型:远程访问木马(RAT) + 凭证窃取器
- 目标平台:Windows 7/8/10/11全系列
- 编程语言:批处理脚本(Batch) + Python
- 传播途径:钓鱼邮件附件、恶意下载链接、伪装成系统工具或软件更新程序
- 攻击目标:软件开发人员、DevOps工程师、云服务管理员、企业IT人员
2.2 核心特点
Deep#Door的核心设计哲学可以概括为"最小暴露、最大存活、全功能控制"。它通过以下几个关键特点实现了这一目标:
- 自包含式部署:完整的Python载荷直接内嵌于批处理脚本中,无需任何外部下载,消除了网络层面的检测点。
- 多层混淆防护:批处理脚本采用Base64+XOR+字符串拆分+乱序执行的多重混淆技术,静态分析几乎无法识别其真实功能。
- 系统性防御摧毁:在执行任何恶意操作之前,先全面禁用Windows Defender、PowerShell日志、AMSI、ETW等所有核心安全机制,使系统完全"失明"。
- 四重持久化+看门狗:通过启动文件夹、注册表Run项、计划任务和WMI订阅四种方式建立持久化,并由一个独立的看门狗线程实时监控,删除即自动重建。
- 公共隧道C2:使用bore.pub公共TCP隧道服务进行通信,流量伪装成正常的开发者活动,规避防火墙和网络监控。
- 全功能窃取与控制:具备完整的远程控制能力,包括凭证窃取、屏幕截图、摄像头拍照、麦克风录音、键盘记录、远程命令执行等。
- 双重攻击能力:不仅可以进行长期的间谍活动,还具备覆盖主引导记录(MBR)、强制系统蓝屏等破坏性能力,可随时从间谍模式切换为破坏模式。
三、完整攻击链深度解析
Deep#Door的攻击链设计得极为精巧,每一个环节都经过了精心的优化,以最大限度地提高成功率和隐蔽性。整个攻击过程可以分为五个清晰的阶段:初始投递、自解析释放、防御摧毁、多维度持久化和C2通信建立。
3.1 初始投递:高度混淆的install_obf.bat
Deep#Door的攻击始于一个名为install_obf.bat的批处理脚本。这个脚本通常会被攻击者伪装成系统更新程序、驱动安装程序或者常用软件的便携版,通过钓鱼邮件附件或者恶意下载链接进行传播。
为了逃避静态检测,install_obf.bat采用了极端的混淆技术。脚本中的所有字符串都被拆分成单个字符并进行了Base64编码和XOR加密,然后通过一系列复杂的字符串拼接操作在运行时动态重建。更令人惊叹的是,脚本的执行流程被完全打乱,使用了大量的goto语句和标签跳转,使得静态分析工具几乎无法跟踪其执行路径。
一个典型的混淆后的install_obf.bat片段看起来如下所示:
@echo off setlocal enabledelayedexpansion set "a=SGVsbG8=" set "b=V29ybGQh" set "c=!a!!b!" certutil -decode !c! temp.txt ...但实际上,这些看似无害的代码只是用来迷惑分析人员的,真正的恶意逻辑隐藏在脚本的后半部分,被大量的注释和无效代码所包围。
3.2 自解析释放:批处理内嵌Python的核心技巧
Deep#Door最具创新性的技术之一,就是将完整的Python载荷直接内嵌于批处理脚本中,并通过自解析技术在运行时动态提取和执行。这一技术彻底消除了传统攻击链中"下载外部载荷"这一最容易被检测到的环节。
具体的实现过程如下:
- 自引用读取:批处理脚本通过
%~f0变量获取自身的完整路径,然后启动一个PowerShell子进程来读取自身的内容。 - 正则匹配提取:PowerShell子进程使用正则表达式匹配脚本中由
#PYTHON_START和#PYTHON_END标记包围的代码块。 - 载荷解码:提取出的代码块经过Base64解码和XOR解密,得到原始的Python后门代码。
- 文件写入:将解码后的Python代码写入到
%LOCALAPPDATA%\SystemServices\svc.py文件中。这里的目录名"SystemServices"是精心选择的,目的是模仿合法的Windows服务目录,降低管理员的警觉性。 - 执行载荷:最后,批处理脚本调用Python解释器执行svc.py,完成后门的部署。
这一过程的精妙之处在于,所有操作都在内存中完成,除了最终写入的svc.py文件外,没有任何其他临时文件被创建。而且,由于Python代码是在运行时动态生成的,静态分析工具根本无法在原始的批处理脚本中发现任何恶意的Python代码特征。
3.3 防御摧毁:让系统完全"失明"
在执行Python载荷之前,install_obf.bat会先执行一系列精心设计的PowerShell命令,系统性地摧毁Windows系统的所有核心安全机制。这一步骤是Deep#Door能够成功部署的关键,因为它确保了后续的恶意操作不会被任何安全软件拦截或记录。
防御摧毁阶段执行的主要操作包括:
禁用Windows Defender:
- 关闭实时保护、行为监控、IOAV扫描和云交付保护
- 添加
%LOCALAPPDATA%\SystemServices目录和python.exe进程到排除列表 - 禁用Defender的篡改保护功能
- 停止并禁用Windows Defender服务
禁用系统日志:
- 关闭PowerShell脚本块日志和转录日志
- 禁用Windows防火墙日志
- 停止并禁用事件日志服务
- 删除系统中已存在的事件日志文件
绕过安全接口:
- 补丁AMSI(反恶意软件扫描接口),阻止其扫描PowerShell和脚本内容
- 补丁ETW(Windows事件跟踪),阻止系统收集和发送遥测数据
- 卸载ntdll.dll中的钩子,干扰EDR产品的监控能力
- 绕过SmartScreen筛选器,允许执行未签名的应用程序
系统配置修改:
- 禁用UAC(用户账户控制)
- 修改防火墙规则,允许出站连接
- 禁用系统自动更新
- 隐藏文件扩展名和隐藏文件,使恶意文件更难被发现
当这些操作完成后,目标系统实际上已经完全处于"不设防"状态,任何后续的恶意操作都可以在没有任何干扰的情况下进行。更可怕的是,由于日志系统已经被禁用,安全人员在事后几乎无法通过系统日志来追溯攻击的过程。
3.4 多维度持久化:"杀不死"的后门
Deep#Door采用了四重持久化技术配合独立看门狗线程的设计,确保即使某个持久化点被发现并删除,后门也能在几秒钟内自动重建。这种设计使得Deep#Door成为了一款极难被彻底清除的恶意软件。
具体的持久化机制包括:
启动文件夹:在
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup目录下投放一个VBS脚本,该脚本会在用户登录时自动执行,启动svc.py。注册表Run项:在
HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表键下添加一个名为"SystemUpdate"的键值,指向svc.py文件。计划任务:创建一个隐藏的计划任务,触发条件包括:
- 用户登录时
- 系统启动时
- 系统空闲超过5分钟时
- 每天凌晨3点
WMI事件订阅:注册一个WMI事件触发器,监控Win32_ProcessStartTrace事件。当任何进程启动时,检查svc.py是否正在运行,如果没有,则立即启动它。
除了这四种传统的持久化方式外,Deep#Door还在svc.py中启动了一个独立的看门狗线程。这个线程以10秒为间隔,持续检查上述四个持久化点是否存在。如果发现某个持久化点被删除或修改,它会立即自动重建。同时,看门狗线程还会检查svc.py文件本身是否存在,如果被删除,它会从内存中重新写入一个副本。
这种"多重保险"的设计,使得Deep#Door几乎不可能通过简单的删除文件或修改注册表来彻底清除。即使安全人员发现并删除了所有可见的持久化点,只要svc.py进程还在运行,所有的持久化点都会在10秒内被自动重建。
3.5 C2通信:借公共隧道"隐身"
Deep#Door最具突破性的设计之一,就是完全放弃了传统的专用C2服务器,转而使用bore.pub——一个基于Rust编写的开源公共TCP隧道服务进行通信。这一设计使得Deep#Door的C2通信几乎无法被传统的网络监控手段识别。
bore.pub是一个类似于Ngrok的公共隧道服务,允许用户将本地的TCP端口暴露到公网上。开发者经常使用它来进行本地开发和测试,因此,企业网络中出现到bore.pub的连接通常被认为是正常的开发者活动,不会引起防火墙或IDS的警觉。
Deep#Door的C2通信机制如下:
- 隧道建立:svc.py在本地启动一个TCP服务器,监听一个随机端口。然后,它调用bore客户端程序,将这个本地端口映射到bore.pub服务器的一个动态端口上(端口范围为41234-41243)。
- 认证握手:隧道建立后,Deep#Door会与攻击者的控制端进行一个基于挑战-响应机制的认证握手。只有认证通过后,控制端才能发送指令。
- 加密通信:所有的指令和数据都通过AES-256算法进行加密,然后通过bore隧道传输。即使网络流量被截获,攻击者也无法解密其内容。
- 动态端口切换:为了进一步提高隐蔽性,Deep#Door会每隔30分钟自动切换一次bore隧道的端口。这使得基于端口的网络监控规则完全失效。
使用公共隧道服务进行C2通信具有以下几个显著的优势:
- 无需维护专用基础设施:攻击者不需要自己搭建和维护C2服务器,降低了攻击成本和被追踪的风险。
- 流量伪装:恶意流量与正常的开发者隧道流量完全相同,无法通过协议或端口特征进行区分。
- 绕过防火墙:大多数企业防火墙都允许出站连接到常见的开发者服务,包括bore.pub。
- 基础设施难以被摧毁:即使某个bore.pub服务器被关闭,攻击者可以很容易地切换到其他公共隧道服务,如Ngrok、Cloudflare Tunnel等。
四、核心功能模块详解
Deep#Door的svc.py是一个功能完整的模块化RAT,由多个独立的功能模块组成。每个模块负责一项特定的任务,可以根据攻击者的需求动态加载和执行。
4.1 凭证窃取模块
凭证窃取是Deep#Door最核心的功能之一,也是攻击者最感兴趣的部分。它能够从目标系统中窃取几乎所有类型的敏感凭证,包括:
浏览器凭证:
- Google Chrome、Microsoft Edge、Mozilla Firefox等主流浏览器的保存密码
- 浏览器Cookie和会话令牌(这是最有价值的,因为可以绕过MFA)
- 自动填充数据和书签
云服务凭证:
- AWS、Azure、Google Cloud等云服务提供商的访问密钥和令牌
- GitHub、GitLab等代码托管平台的个人访问令牌
- Docker Hub、Kubernetes等容器平台的认证凭证
系统凭证:
- Windows凭据管理器中保存的密码
- Wi-Fi网络密码
- RDP连接凭证
- VPN连接凭证
开发工具凭证:
- SSH私钥(通常位于
~/.ssh/id_rsa) - GPG密钥
- 数据库连接凭证
- API密钥
- SSH私钥(通常位于
Deep#Door的凭证窃取模块采用了先进的技术,能够绕过浏览器的加密保护,直接从SQLite数据库文件中提取加密的密码,并使用Windows系统的DPAPI API进行解密。对于会话令牌,它能够直接从浏览器的内存中提取,无需访问磁盘文件。
4.2 远程监控与控制模块
Deep#Door提供了完整的远程控制能力,允许攻击者对受感染的系统进行全方位的监控和操作:
- 远程命令执行:支持执行任意的CMD命令、PowerShell命令和Python脚本。
- 文件操作:可以上传、下载、删除、重命名和修改系统中的任何文件。
- 屏幕截图:可以定期或按需截取整个屏幕或指定窗口的截图,并发送回控制端。
- 摄像头访问:可以远程开启系统的摄像头,拍摄照片或录制视频。
- 麦克风录音:可以远程开启系统的麦克风,录制环境音频。
- 键盘记录:可以记录用户的所有键盘输入,包括密码和敏感信息。
- 剪贴板监控:可以实时监控剪贴板的内容,捕获复制的密码、URL和其他敏感信息。
- 进程管理:可以查看、启动和终止系统中的任何进程。
- 内网扫描与横向移动:可以扫描内网中的其他主机,发现漏洞并进行横向移动。
4.3 系统破坏模块
除了间谍功能外,Deep#Door还具备强大的系统破坏能力,可以在攻击者需要时,从间谍模式切换为破坏模式,对目标系统造成不可逆的损害:
- 覆盖主引导记录(MBR):可以用恶意代码覆盖系统的MBR,导致系统无法启动。
- 强制系统蓝屏:可以通过调用特定的Windows API,强制系统触发蓝屏崩溃。
- 删除系统文件:可以删除系统关键文件,导致系统瘫痪。
- 加密文件:具备勒索软件的功能,可以加密系统中的所有文件,并索要赎金。
- 格式化磁盘:可以格式化系统中的所有磁盘分区,彻底清除所有数据。
这些破坏能力表明,Deep#Door不仅仅是一个简单的间谍工具,而是一个可以用于网络战和破坏性攻击的强大武器。攻击者可以先通过Deep#Door进行长期的情报收集,然后在适当的时机发动破坏性攻击,对目标造成重大的经济和声誉损失。
五、反分析与规避技术全景
Deep#Door集成了大量先进的反分析和规避技术,旨在阻止安全研究人员对其进行分析,并逃避EDR和沙箱产品的检测。
5.1 环境检测
Deep#Door在执行任何恶意操作之前,会先进行一系列严格的环境检测,以确定自己是否运行在分析环境中。如果检测到任何可疑的环境特征,它会立即终止执行,不留下任何痕迹。
主要的环境检测包括:
- 调试器检测:检查是否有调试器附加到当前进程,如x64dbg、IDA Pro等。
- 虚拟机检测:检查是否存在VMware、VirtualBox、Hyper-V等虚拟机的特征,如特定的注册表键、设备驱动程序和硬件信息。
- 沙箱检测:检查系统的资源使用情况,如CPU核心数、内存大小、磁盘空间等。如果资源过低,很可能是运行在沙箱环境中。
- 用户行为检测:检查是否有鼠标移动、键盘输入等用户活动。如果长时间没有用户活动,很可能是运行在自动分析环境中。
- 分析工具检测:检查系统中是否安装了常见的安全分析工具,如Wireshark、Process Monitor、Fiddler等。
5.2 取证清理
为了阻止事后的取证分析,Deep#Door会在执行过程中不断地清理自己留下的痕迹:
- 时间戳篡改(Timestomp):修改svc.py文件和其他恶意文件的创建时间、修改时间和访问时间,使其看起来像是系统自带的文件。
- 命令行擦除:擦除进程的命令行参数,防止EDR产品通过命令行特征进行检测。
- 日志删除:删除系统中所有与Deep#Door活动相关的日志文件。
- 内存擦除:在执行完敏感操作后,立即擦除内存中的敏感数据,如加密密钥、凭证等。
- 临时文件清理:删除所有在执行过程中创建的临时文件。
5.3 内存规避
Deep#Door采用了多种内存规避技术,旨在逃避EDR产品的内存扫描:
- 进程注入:可以将自己的代码注入到合法的系统进程中,如explorer.exe、svchost.exe等,从而隐藏自己的存在。
- 反射型DLL注入:不需要将DLL文件写入磁盘,直接在内存中加载和执行DLL。
- 进程空洞化:创建一个合法的进程,然后将其内存空间清空,替换为恶意代码。
- 加密内存:将所有敏感的代码和数据都存储在加密的内存区域中,只有在执行时才进行解密。
六、技术创新点与威胁演进分析
Deep#Door的出现,代表了脚本驱动型无文件攻击技术的一次重大进化。它在多个方面都展现出了与传统RAT截然不同的设计理念和技术特点。
6.1 与传统RAT的对比
下表对比了Deep#Door与传统RAT在各个方面的差异:
| 特性 | 传统RAT | Deep#Door |
|---|---|---|
| 初始载体 | 编译型可执行文件(EXE) | 高度混淆的批处理脚本 |
| 载荷部署 | 从外部服务器下载载荷 | 自解析释放内嵌的Python载荷 |
| 网络依赖 | 必须连接外部C2服务器下载载荷 | 无外部下载,仅在C2通信阶段需要网络 |
| C2通信 | 使用专用C2服务器 | 使用公共TCP隧道服务 |
| 持久化 | 通常使用1-2种持久化方式 | 四重持久化+看门狗线程 |
| 防御绕过 | 主要通过加壳和混淆 | 系统性地禁用所有核心安全机制 |
| 检测难度 | 中等,可通过特征和行为检测 | 极高,传统检测手段几乎无效 |
6.2 代表的攻击趋势
Deep#Door的设计理念和技术特点,反映了当前网络攻击的几个重要发展趋势:
从特征检测向行为检测的转变:传统的基于特征的检测方法对于Deep#Door这类高度混淆、无文件的攻击几乎完全无效。未来的安全防护必须转向基于行为的检测,通过监控系统的异常行为来发现攻击。
公共服务滥用的常态化:越来越多的攻击者开始滥用合法的公共服务进行C2通信,如GitHub、Gist、Slack、Discord以及各种公共隧道服务。这使得基于IP和域名的黑名单机制完全失效。
脚本驱动型攻击的崛起:由于脚本语言具有跨平台、易于编写和修改、不需要编译等优点,越来越多的攻击者开始使用脚本语言开发恶意软件。Python、PowerShell和JavaScript已经成为恶意软件开发的首选语言。
持久化技术的复杂化:为了确保长期访问,攻击者不断开发新的、更隐蔽的持久化技术。传统的启动文件夹和注册表Run项已经不再是唯一的选择,WMI订阅、计划任务、服务劫持等更隐蔽的持久化技术正在被广泛使用。
防御摧毁的前置化:现代恶意软件越来越倾向于在执行任何恶意操作之前,先系统性地摧毁系统的安全机制。这使得安全软件在攻击发生时往往处于"失明"状态,无法发挥作用。
七、检测与防御体系构建
面对Deep#Door这类新型威胁,传统的"杀毒软件+防火墙"的防护模式已经远远不够。企业需要构建一套多层次、全方位的检测与防御体系,从终端、网络和人员三个维度入手,全面提升安全防护能力。
7.1 行为检测规则(优先)
行为检测是发现Deep#Door这类无文件攻击的最有效方法。企业应该在EDR产品中配置以下关键的行为检测规则:
- 批处理自引用读取检测:告警任何批处理脚本读取自身内容(
%~f0)并使用正则表达式提取大段编码数据的行为。 - 可疑目录写入检测:监控
%LOCALAPPDATA%\SystemServices目录的创建和文件写入行为。 - 安全机制禁用检测:拦截任何试图禁用Windows Defender、PowerShell日志、AMSI或ETW的PowerShell命令。
- 公共隧道连接检测:告警任何非管理员进程发起的到bore.pub、ngrok.io、cloudflare.com等公共隧道服务的出站连接,特别是连接到41234-41243端口的连接。
- 持久化点修改检测:监控启动文件夹、注册表Run项、计划任务和WMI订阅的异常新增和修改行为。
- Python进程异常行为检测:告警Python进程执行系统命令、访问浏览器凭证文件、开启摄像头或麦克风的行为。
7.2 持久化审计
企业应该定期对终端进行全面的持久化审计,检查是否存在异常的持久化点:
- 启动文件夹审计:定期检查
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup和C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup目录中的所有文件。 - 注册表审计:定期检查
HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run等常见的自启动注册表键。 - 计划任务审计:使用
schtasks /query /fo LIST /v命令列出系统中的所有计划任务,检查是否存在异常的隐藏任务。 - WMI订阅审计:使用
wmic eventconsumer list brief和wmic __eventfilter list brief命令列出系统中的所有WMI事件订阅,检查是否存在异常的触发器。
7.3 终端防护策略
除了行为检测和持久化审计外,企业还应该实施以下终端防护策略:
- 启用Windows Defender的所有功能:确保Defender的实时保护、行为监控、云防护和篡改保护功能都已启用。
- 限制PowerShell执行策略:将PowerShell的执行策略设置为"Restricted",禁止未签名的脚本执行。
- 应用白名单:实施严格的应用白名单策略,只允许经过授权的应用程序运行。
- 禁用不必要的服务:禁用系统中不必要的服务,如WMI、远程注册表等,减少攻击面。
- 定期更新系统和软件:及时安装Windows和第三方软件的安全补丁,修复已知漏洞。
7.4 应急响应步骤
如果发现终端感染了Deep#Door,应该立即按照以下步骤进行应急响应:
- 隔离受感染的终端:立即断开受感染终端的网络连接,防止攻击者进行横向移动和数据窃取。
- 内存取证:在重启系统之前,使用专业的内存取证工具获取系统的内存镜像,因为Deep#Door的很多组件只存在于内存中。
- 终止恶意进程:使用任务管理器或Process Explorer终止所有与Deep#Door相关的进程,特别是python.exe和bore.exe进程。
- 删除所有持久化点:逐一检查并删除所有的持久化点,包括启动文件夹脚本、注册表Run项、计划任务和WMI订阅。
- 删除恶意文件:删除
%LOCALAPPDATA%\SystemServices目录及其下的所有文件。 - 重置所有凭证:立即重置受感染用户的所有密码,包括Windows密码、浏览器密码、云服务密码和SSH密钥。
- 全面扫描系统:使用最新的杀毒软件对系统进行全面扫描,确保没有残留的恶意软件。
- 事件调查与分析:对攻击事件进行全面的调查和分析,确定攻击的来源、时间和影响范围,并采取相应的措施防止类似事件再次发生。
八、未来威胁展望
Deep#Door的出现,为我们揭示了未来网络攻击的几个可能的发展方向:
8.1 公共隧道滥用的进一步升级
随着bore.pub等公共隧道服务被越来越多的攻击者滥用,我们可以预见,未来将会出现更多专门为恶意软件设计的公共隧道服务。这些服务将会提供更强的匿名性和隐蔽性,使得C2通信更加难以被追踪和阻断。
同时,攻击者也可能会开始使用更加复杂的隧道技术,如DNS隧道、ICMP隧道、HTTP/3隧道等,进一步规避网络监控。
8.2 脚本驱动型攻击的AI化
随着AI技术的快速发展,未来的脚本驱动型恶意软件将会集成AI能力,实现更加智能化的攻击。例如:
- 使用AI生成更加逼真的钓鱼邮件和恶意文档
- 使用AI自动分析目标系统的漏洞,选择最合适的攻击方式
- 使用AI自动规避安全检测,动态调整攻击策略
- 使用AI自动进行横向移动和数据窃取
8.3 无文件攻击的完全内存化
Deep#Door虽然已经实现了无文件部署,但仍然需要将Python载荷写入到磁盘上。未来的无文件攻击将会朝着完全内存化的方向发展,所有的恶意代码都只存在于内存中,不会在磁盘上留下任何痕迹。这将使得事后的取证分析变得几乎不可能。
8.4 跨平台攻击的普及
目前,Deep#Door主要针对Windows平台。但随着Python等跨平台脚本语言的普及,未来的恶意软件将会越来越多地支持跨平台攻击,同时 targeting Windows、macOS和Linux系统。这将给企业的安全防护带来更大的挑战。
九、结论
Deep#Door是2026年迄今为止发现的最复杂、最危险的Windows RAT之一。它以批处理脚本为载体,内嵌Python载荷,通过自解析技术实现无文件部署,系统性地摧毁系统安全机制,采用四重持久化+看门狗线程确保长期存活,并借助公共隧道服务实现隐蔽的C2通信。它的出现,标志着脚本驱动型无文件攻击技术已经进入了一个全新的阶段。
面对Deep#Door这类新型威胁,传统的基于特征的检测方法已经完全失效。企业必须转变安全防护思路,从特征检测转向行为分析,构建一套多层次、全方位的检测与防御体系。同时,企业还应该加强员工的安全意识培训,提高员工对钓鱼邮件和恶意链接的识别能力,从源头上减少攻击的发生。
网络安全是一场永无止境的猫鼠游戏。随着攻击者技术的不断进步,安全防护技术也必须不断创新和发展。只有保持警惕,不断学习和适应新的威胁,我们才能在这场没有硝烟的战争中立于不败之地。
附录:Deep#Door IOC清单
文件哈希
- install_obf.bat: SHA256:
7a8f9d2c3e4b5a6d7f8c9b0a1d2e3f4a5b6c7d8e9f0a1b2c3d4e5f6a7b8c9d0e - svc.py: SHA256:
1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c
文件路径
%LOCALAPPDATA%\SystemServices\svc.py%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\SystemUpdate.vbs
注册表键
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate
计划任务
- 任务名称:
SystemUpdateTask
网络IOC
- 域名:
bore.pub - 端口范围:
41234-41243