新型惡意軟件批量竊取瀏覽器密碼與云憑證

Securonix威脅研究團(tuán)隊在近期分析中發(fā)現(xiàn)，一款名為DEEP#DOOR的Python后門框架正在針對Windows用戶發(fā)起攻擊。它的特別之處在于：不依賴外部下載，單文件即可完成植入、持久化、憑證竊取的全流程。

一個批處理文件的" Trojan Horse "

攻擊起點是一個名為"finallyJob.bat"的混淆批處理腳本。用戶雙擊打開后，腳本會動態(tài)提取并運行內(nèi)嵌的Python遠(yuǎn)程訪問工具載荷（c.py）。

這種設(shè)計刻意避開了傳統(tǒng)檢測邏輯。多數(shù)安全工具監(jiān)控的是網(wǎng)絡(luò)層面的可疑下載行為，而DEEP#DOOR把完整后門直接打包在初始文件中，網(wǎng)絡(luò)流量特征幾乎為零。

植入完成后，惡意軟件通過多種機(jī)制確保長期駐留：啟動文件夾腳本、注冊表Run鍵、計劃任務(wù)，以及可選的WMI訂閱。研究人員指出，這種多層持久化策略讓清理工作變得異常繁瑣。

正方觀點：技術(shù)架構(gòu)的"精巧"之處

從純技術(shù)視角看，DEEP#DOOR展現(xiàn)了攻擊者對產(chǎn)品化工具的打磨。

首先是防御規(guī)避的系統(tǒng)性。在部署Python后門之前，它會依次禁用SmartScreen、修補(bǔ)AMSI（反惡意軟件掃描接口）和ETW（事件追蹤），清除事件日志，并通過時間戳偽造隱藏活動痕跡。此外還集成了沙箱檢測、API解鉤、Windows Defender篡改和命令行剝離。

其次是通信架構(gòu)的實用性。后門使用公開可用的TCP隧道服務(wù)與攻擊者基礎(chǔ)設(shè)施建立連接，遠(yuǎn)程操作者通過專用端口交互。這種設(shè)計降低了攻擊者的基礎(chǔ)設(shè)施成本，同時增加了流量溯源的難度。

功能模塊的完整性也值得注意。激活后的后門支持：遠(yuǎn)程命令執(zhí)行、鍵盤記錄、攝像頭拍照、麥克風(fēng)錄音、屏幕截圖，以及憑證收割。研究人員將其歸類為"功能完備的遠(yuǎn)程訪問工具"，具備長期駐留、橫向移動和滲透后利用的全套能力。

反方觀點：真正造成損害的并非技術(shù)復(fù)雜度

然而，技術(shù)社區(qū)的另一種聲音認(rèn)為，過度關(guān)注DEEP#DOOR的"先進(jìn)性"是一種誤導(dǎo)。

它的核心威脅模型并不新穎。瀏覽器密碼竊取、云令牌抓取、SSH密鑰收割——這些功能在信息竊取類惡意軟件中早已泛濫。get_chrome_cred()和get_edge_cred()函數(shù)直接調(diào)用瀏覽器SQLite數(shù)據(jù)庫提取登錄數(shù)據(jù)，get_ssh_key()函數(shù)收割SSH密鑰，都是教科書級別的實現(xiàn)。

真正的問題在于目標(biāo)環(huán)境的脆弱性配置。批處理文件的執(zhí)行依賴用戶交互，這意味著初始入侵環(huán)節(jié)存在明顯的人為因素。而后續(xù)的多層持久化之所以成功，往往是因為終端缺乏應(yīng)用白名單、特權(quán)賬戶管控等基礎(chǔ)防護(hù)措施。

此外，對公開TCP隧道服務(wù)的依賴既是優(yōu)勢也是軟肋。這種架構(gòu)雖然降低了攻擊者成本，但也意味著通信特征相對固定，網(wǎng)絡(luò)層面的行為分析仍有檢測空間。

我的判斷：攻擊者正在"產(chǎn)品化"滲透工具

DEEP#DOOR的真正信號不在于技術(shù)突破，而在于攻擊工具的產(chǎn)品化趨勢。

它將分散的滲透技術(shù)整合為單一、自包含的交付包：一個批處理文件即包含載荷投遞、防御規(guī)避、持久化建立、遠(yuǎn)程控制、憑證竊取的全鏈條。這種"開箱即用"的設(shè)計降低了攻擊門檻，意味著更多中等技術(shù)水平的威脅行為者可以部署 sophisticated 的入侵能力。

對于企業(yè)安全團(tuán)隊，這意味著防御重心需要調(diào)整。網(wǎng)絡(luò)層檢測的窗口正在收窄，終端行為監(jiān)控、憑證訪問審計、特權(quán)賬戶管理的基礎(chǔ)建設(shè)變得更為緊迫。當(dāng)攻擊者把復(fù)雜攻擊封裝成單文件產(chǎn)品時，防御方也需要相應(yīng)的自動化響應(yīng)能力來匹配這種效率。

Securonix研究團(tuán)隊的分析數(shù)據(jù)指向一個明確結(jié)論：DEEP#DOOR的檢測難點不在于技術(shù)不可解，而在于它壓縮了從初始訪問到全面控制的時間窗口，留給防御者的反應(yīng)空間被顯著壓縮。