DEEP#DOOR là một biến thể mã độc ransomware và backdoor viết bằng Python nhắm vào hệ thống Windows, kết hợp khả năng truy cập từ xa với cơ chế đánh cắp thông tin đăng nhập đa nguồn. Mẫu này hoạt động theo mô hình loader dạng batch script, khiến rủi ro bảo mật tăng cao khi bị kích hoạt từ các tệp .bat có vẻ hợp lệ.
Chuỗi xâm nhập của DEEP#DOOR
Điểm khởi đầu của mối đe dọa mạng này là một batch script bị làm rối, thường có tên finallyJob.bat. Khi người dùng mở tệp, script sẽ giải nén và thực thi payload Python nhúng sẵn bên trong, thay vì tải xuống từ bên ngoài.
Cách triển khai này giúp giảm khả năng bị phát hiện bởi các công cụ giám sát lưu lượng mạng, vì payload đã nằm trực tiếp trong file khởi tạo. Đây là một đặc điểm thường gặp trong các lỗ hổng CVE-style post-exploitation chain, dù ở trường hợp này không có CVE cụ thể được công bố.
Điểm thực thi và cơ chế duy trì hiện diện
Khi thực thi, DEEP#DOOR thiết lập persistence bằng nhiều cơ chế trên Windows:
- Startup folder scripts
- Registry Run keys
- Scheduled Tasks
- WMI subscriptions (tùy chọn)
Việc kết hợp nhiều điểm bám trụ làm tăng đáng kể khả năng hệ thống bị xâm nhập kéo dài, đặc biệt trong môi trường không có kiểm tra định kỳ các thành phần khởi động tự động.
Cơ chế điều khiển và hành vi sau xâm nhập
DEEP#DOOR giao tiếp với hạ tầng do kẻ tấn công kiểm soát thông qua một TCP tunneling service công khai. Điều này cho phép điều khiển từ xa qua các cổng riêng và làm phức tạp quá trình phát hiện xâm nhập.
Backdoor cung cấp các chức năng hậu khai thác gồm remote code execution, giám sát và thu thập dữ liệu trên máy nạn nhân. Bên cạnh đó, nó có thể duy trì kết nối dài hạn để phục vụ hoạt động xâm nhập trái phép và di chuyển ngang trong hệ thống.
Chức năng giám sát và thu thập dữ liệu
- Keylogging
- Webcam photo capture
- Microphone recording
- Screen capture
- Credential harvesting
Đây là lớp hành vi đáng chú ý của mã độc ransomware dạng backdoor: không chỉ điều khiển hệ thống mà còn mở rộng sang đánh cắp dữ liệu và thông tin xác thực.
Hành vi né tránh và vô hiệu hóa phòng thủ
Trước khi triển khai payload chính, DEEP#DOOR thực hiện nhiều kỹ thuật né tránh để giảm hiệu quả của update vá lỗi và công cụ phòng thủ tích hợp. Các kỹ thuật được ghi nhận gồm:
- Vô hiệu hóa SmartScreen
- Patch AMSI và ETW
- Xóa event logs
- Timestamp stomping
- Sandbox detection
- Unhooking
- Windows Defender tampering
- Command-line stripping
Vì DEEP#DOOR dựa trên Python và script bị làm rối, các giải pháp antivirus truyền thống có thể chỉ cung cấp phạm vi bao phủ hạn chế. Theo đó, behavioral analytics và anomaly detection trở thành lớp phòng thủ chính cho an toàn thông tin.
Chuỗi đánh cắp thông tin xác thực
Thành phần nguy hiểm nhất của cảnh báo CVE-type threat này là engine thu thập credential. DEEP#DOOR nhắm vào nhiều nguồn dữ liệu trên một máy bị xâm nhập, làm tăng mạnh nguy cơ rò rỉ dữ liệu nhạy cảm.
Mã độc gọi trực tiếp các hàm chuyên dụng để trích xuất dữ liệu từ trình duyệt, file cấu hình và khu vực lưu trữ thông tin của hệ điều hành.
Các hàm thu thập chính
- get_chrome_cred(): truy xuất dữ liệu đăng nhập từ cơ sở dữ liệu SQLite của Chrome
- get_edge_cred(): trích xuất thông tin lưu trong Edge
- get_ssh_key(): tìm và đánh cắp private SSH keys
- get_cloud_cred(): rà quét biến môi trường và file cấu hình chứa AWS, Azure, GCP credentials
- get_wifi_cred(): kiểm tra Windows Credential Manager và registry để lấy mật khẩu Wi-Fi
Chuỗi thu thập này khiến một lần nhiễm có thể mở ra toàn bộ bề mặt truy cập của hệ thống, từ trình duyệt, cloud token đến SSH key. Đây là yếu tố làm tăng đáng kể nguy cơ bảo mật trong môi trường doanh nghiệp.
IOC và dấu hiệu cần theo dõi
Không có IOC dạng hash, domain hay IP được công bố trong nội dung gốc. Tuy nhiên, các dấu hiệu sau có thể hỗ trợ phát hiện tấn công:
- Tệp batch có tên finallyJob.bat
- Thực thi cmd.exe hoặc PowerShell với chuỗi Base64-encoded
- Thay đổi bất thường tại Registry Run keys
- Tác vụ mới trong Scheduled Tasks
- Script trong Startup folder
- Kết nối outbound qua TCP tunneling trên cổng không chuẩn
- Lệnh hoặc tiến trình vô hiệu hóa AMSI, ETW, hoặc Windows Defender
- Truy cập bất thường đến webcam, microphone, hoặc screen capture
Biện pháp giảm thiểu rủi ro bảo mật
Các biện pháp ưu tiên tập trung vào kiểm soát thực thi script, phát hiện hành vi và bảo vệ thông tin xác thực. Đây là hướng tiếp cận phù hợp khi đối mặt với mã độc ransomware hoặc backdoor có khả năng né tránh phòng thủ.
- Không mở tệp batch hoặc script không rõ nguồn gốc.
- Giám sát hoạt động PowerShell và cmd.exe bất thường, đặc biệt khi có chuỗi Base64.
- Kiểm tra định kỳ Registry Run keys, Startup folders, và Scheduled Tasks.
- Bật Windows Defender tamper protection.
- Xoay vòng cloud authentication tokens và SSH keys sau nghi ngờ bị lộ.
- Giám sát lưu lượng outbound có dấu hiệu tunneling.
- Cô lập ngay hệ thống có dấu hiệu truy cập webcam, microphone hoặc screen capture bất thường.
Tham khảo thêm báo cáo phân tích gốc tại Securonix Threat Research và đối chiếu thông tin kiểm tra lỗ hổng trên NVD.
Cảnh báo CVE liên quan đến DEEP#DOOR không đi kèm mã CVE cụ thể, nhưng kỹ thuật loader dạng batch, persistence đa điểm và credential harvesting khiến đây là mối đe dọa mạng có mức tác động cao đối với môi trường Windows có sử dụng browser password, cloud token và SSH key.
