
关键词
Python后门
安全研究人员发现一款名为DEEP#DOOR的Python后门框架,竞然利用公共TCP隧道服务bore.pub进行C2控制,可窃取浏览器和云凭据(AWS、Google Cloud、Azure)。当前攻击似乎有限,但具备高度模块化,值得警惕。
| 恶意软件 | |
| 开发语言 | |
| C2通道 | |
| 目标 |
Securonix安全研究团队发现了这个高度隐蔽的后门框架。

攻击从batch脚本(install_obf.bat)开始:
无文件落地:Python payload直接嵌入在dropper脚本中,运行时提取重建,大大减少外部依赖和传统检测机会。
一旦部署,DEEP#DOOR可以:
传统C2需要自己搭建服务器,但DEEP#DOOR选择公共隧道服务bore.pub:
优势:减少特征,快速切换目标。
DEEP#DOOR具备大量反分析和防御规避机制:
多个自动持久化路径:
难以清除:即使删除也会自动恢复。
根据Securonix研究:
"当前观察到的攻击似乎有限且有一定针对性,而非大规模广泛传播。"
但由于框架的模块化特性,不同威胁参与者可能 adaptation 用于各种用例。
END
阅读推荐
【安全圈】热门 WordPress 重定向插件暗藏休眠后门多年
【安全圈】开源电子病历软件 OpenEMR 发现 38 个漏洞
【安全圈】有缺陷的 VECT 2.0 勒索软件对大文件充当数据擦除器
【安全圈】Linux 内核潜伏 9 年漏洞披露:732 字节脚本攻破 Ubuntu 等发行版,提权至 root 最高权限
【安全圈】cPanel被曝惊天高危漏洞,千万级服务器面临“裸奔”,官方紧急发布补丁!


安全圈

←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!

好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
