DEEP#DOOR: Backdoor Python mới đang âm thầm đánh cắp toàn bộ mật khẩu của bạn qua tunnel bí mật
Tóm tắt chiến dịch
DEEP#DOOR là một backdoor viết bằng Python vừa được Securonix phát hiện với cách hoạt động đáng chú ý hơn chính payload của nó. Thay vì dùng hạ tầng C2 truyền thống, malware nhúng toàn bộ RAT trực tiếp vào dropper script và sử dụng bore.pub — một dịch vụ tunneling mã nguồn mở để che giấu kênh điều khiển, khiến lưu lượng độc hại trông giống traffic hợp pháp.
Sau khi xâm nhập hệ thống, DEEP#DOOR có thể đánh cắp browser credentials, SSH keys, Windows Credential Manager và cloud tokens từ AWS, Azure hay Google Cloud, đồng thời duy trì persistence bằng cơ chế tự phục hồi nếu bị xóa. Dù chưa có dấu hiệu chiến dịch được triển khai diện rộng, DEEP#DOOR cho thấy xu hướng malware mới đang tận dụng dịch vụ hợp pháp và kỹ thuật living-off-the-land để né tránh EDR và kéo dài thời gian tồn tại trong hệ thống.
Timeline sự kiện
| Thời điểm | Sự kiện |
|---|---|
| Q1/2026 | DEEP#DOOR xuất hiện và được phát tán qua phishing (vector ban đầu là batch script) |
| Tháng 4/2026 | Securonix (Gaikwad, Sangwan, Beardslee) hoàn thiện phân tích kỹ thuật |
| Tháng 4/2026 | Securonix chia sẻ báo cáo với The Hacker News; SOC Prime phát hành detection rules |
| 01/05/2026 | SOC Prime publish bộ detection rules + IOC trên Threat Detection Marketplace |
Chuỗi tấn công
Phase 1: Initial Access (T1566 – Phishing)
Dropper install_obf.bat được phân phối qua phishing — email hoặc file tải về. Đây là vector phổ biến, không có bằng chứng cho thấy khai thác lỗ hổng phần mềm để thực thi ban đầu.
Phase 2: Execution & Payload Extraction (T1204.002, T1027, T1059.001)
Khi nạn nhân chạy install_obf.bat, batch script lập tức:
Vô hiệu hóa Windows Defender, SmartScreen, firewall logging và PowerShell logging qua
Set-MpPreferencevànetsh advfirewallDùng PowerShell với regex self-referencing để parse chính file
.bat, extract và decode payload Python (svc.py) được encode base64/XOR nhúng bên trongKhởi chạy
svc.pyqua Python interpreter
Đây là kỹ thuật payload embedding — toàn bộ RAT nằm trong dropper, không cần tải từ C2 server, làm giảm footprint network trong giai đoạn infection ban đầu.
Phase 3: Defense Evasion (T1562.001, T1562.004, T1070.001, T1070.006, T1497.003, T1620)
Trước khi thiết lập persistence, svc.py thực hiện hàng loạt evasion:
Sandbox/VM/Debugger detection: Kiểm tra đặc điểm môi trường, abort nếu phát hiện
AMSI patching: Vô hiệu hóa Antimalware Scan Interface bằng cách patch in-memory
ETW patching: Tắt Event Tracing for Windows để blind monitoring tools
NTDLL unhooking: Restore NTDLL từ disk để bypass EDR hooks
Log clearing: Dừng và xóa EventLog, Sysmon
Timestomping: Thay đổi timestamp file để cản forensics
Phase 4: Persistence (T1547.001, T1053, T1546)
DEEP#DOOR thiết lập 4 lớp persistence đồng thời:
SystemServices.vbsđặt tại%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Registry Run key trỏ đến Python interpreter +
svc.pyScheduled Task làm backup fallback
WMI subscription (tùy chọn) làm lớp thứ tư
Quan trọng hơn: mã độc deploy watchdog mechanism — một process riêng liên tục kiểm tra các persistence artifact còn tồn tại không. Nếu bị xóa, watchdog tự tạo lại, khiến việc remediation thủ công thất bại nếu không terminate watchdog trước.
Phase 5: C2 Communication (T1572 – Protocol Tunneling)
svc.py kết nối đến bore.pub — dịch vụ TCP tunneling mã nguồn mở trên port ngẫu nhiên trong dải 41234–41243. Sau khi tunnel được thiết lập, malware thực hiện challenge-response authentication với operator.
Lý do sử dụng public tunneling service thay vì dedicated C2:
Không cần mua/thuê infrastructure C2 riêng
Traffic hòa vào baseline của legitimate services
Domain
bore.pubkhó block mà không ảnh hưởng legitimate use casesOperator IP thực sự bị ẩn sau tunnel
Phase 6: Collection & Exfiltration (T1056.001, T1113, T1125, T1123, T1115, T1003, T1552, T1555, T1041)
Sau khi C2 active, DEEP#DOOR hỗ trợ đầy đủ surveillance và credential theft:
Credential harvesting:
Passwords từ Google Chrome, Mozilla Firefox, Windows Credential Manager
SSH private keys
Cloud credentials: AWS (
~/.aws/credentials), GCP tokens, Azure CLI tokens
Surveillance: Keylogging, Screenshot capture, Webcam video recording, Microphone audio capture, Clipboard monitoring
Post-exploitation: Reverse shell, System/network reconnaissance, Fork bomb (T1499.002) — tùy chọn gây DoS
Phân tích kỹ thuật chi tiết
Dropper tự giải nén — payload không cần tải về
install_obf.bat nhúng sẵn toàn bộ Python RAT bên trong, encode base64/XOR, ẩn ở phần cuối script. Khi chạy, nó tự đọc lại chính mình qua PowerShell (Get-Content $MyInvocation.MyCommand.Path), tìm encoded blob, decode thành svc.py, rồi chạy ngay.
Không có network request nào trong giai đoạn infection — phá vỡ giả định "monitor egress là đủ". Trước khi extract, script còn tắt sạch: Windows Defender (Set-MpPreference), firewall logging (netsh advfirewall), PowerShell Script Block Logging. Khi RAT khởi động, môi trường đã im lặng
Vô hiệu hóa cả AMSI lẫn ETW — blind AV và EDR cùng lúc
Bước đầu tiên của svc.py là kiểm tra môi trường: CPU cores, RAM, disk, process list (Wireshark, x64dbg...), registry artifacts của VM. Phát hiện sandbox → tự dừng.
Sau đó, RAT thực hiện in-memory patching:
AMSI: ghi byte
0xC3(lệnhRET) vào đầu hàmAmsiScanBuffertrongamsi.dll— mỗi lần AV gọi hàm này để scan script, nó return ngay, không làm gì.ETW: tương tự với
EtwEventWritetrongntdll.dll— mọi telemetry event bị nuốt trước khi ghi.NTDLL unhooking: tải lại bản sạch
ntdll.dlltừ disk để bypass user-mode hooks của EDR.
EventLog và Sysmon bị dừng, timestamps bị thay đổi để cản forensics.
Watchdog — tại sao xóa persistence rồi vẫn còn
DEEP#DOOR tạo bốn lớp persistence đồng thời: SystemServices.vbs trong Startup folder, Registry Run key, Scheduled Task, và tùy chọn WMI subscription. Nhưng thứ làm nó khác biệt là watchdog — một thread riêng liên tục kiểm tra xem các artifact còn đó không, tự tạo lại ngay nếu thiếu.
Hệ quả trực tiếp cho IR: xóa persistence trước khi kill process là vô dụng — artifact sẽ xuất hiện lại trong vài giây. Terminate process trước, cleanup artifact sau — thứ tự này là bắt buộc.
C2 qua bore.pub — ẩn sau tunnel public
svc.py kết nối đến bore.pub trên một port ngẫu nhiên trong dải 41234–41243, thực hiện challenge-response authentication với operator. bore.pub là tunneling service hợp lệ, phổ biến trong cộng đồng developer — không có reputation xấu trong threat feeds, khó block mà không gây false positive. Operator IP thực sự không bao giờ lộ trong logs nạn nhân.
Khi tunnel active: keylogging, screenshot, webcam, microphone, clipboard stream về operator. Credential harvesting đồng thời nhắm vào Chrome/Firefox, Windows Credential Manager, SSH keys, và cloud credentials (~/.aws/credentials, GCP tokens, Azure CLI tokens) — một endpoint bị compromise có thể kéo theo toàn bộ cloud account của tổ chức.
IOC & Artifacts
C2 Tunneling Service
- bore[.]pub
File Hash
2c2386ef6416ce821e377223d2a3b79f2b7ea9e8dc9ed2549f4676fe060b7ddd
84515368e2f8ff4467e38bf48dabb267b5b895f54df5be5ceb5428a414ae15e9
4e3ae82eed8980bbc396020c197c767ba22483a124a00ee04c264dd394378485
c6f00569913cd6bd1017b26bd33bbb28f1d92b9c9e0f830adcc24af59e181d3e
MITRE ATT&CK Mapping
| Tactic | Technique ID | Technique Name | Ghi chú |
|---|---|---|---|
| Initial Access | T1566 | Phishing | Dropper phân phối qua phishing |
| Execution | T1204.002 | User Execution: Malicious File | Nạn nhân chạy .bat |
| Execution | T1059.001 | PowerShell | Dùng PS để extract payload |
| Defense Evasion | T1027 | Obfuscated Files or Information | Base64/XOR embedded payload |
| Defense Evasion | T1562.001 | Disable or Modify Tools | Tắt Windows Defender, AMSI |
| Defense Evasion | T1562.004 | Disable or Modify System Firewall | Tắt firewall logging |
| Defense Evasion | T1070.001 | Clear Windows Event Logs | Xóa EventLog, Sysmon |
| Defense Evasion | T1070.006 | Timestomp | Thay đổi file timestamps |
| Defense Evasion | T1497.003 | Virtualization/Sandbox Evasion: Time Based | Sandbox/VM detection |
| Defense Evasion | T1620 | Reflective Code Loading | In-memory execution |
| Persistence | T1547.001 | Registry Run Keys / Startup Folder | VBS trong Startup + Run key |
| Persistence | T1053 | Scheduled Task/Job | Scheduled Task backup |
| Persistence | T1546 | Event Triggered Execution | WMI subscription (optional) |
| Credential Access | T1003 | OS Credential Dumping | Windows Credential Manager |
| Credential Access | T1552.001 | Credentials In Files | Cloud credential files |
| Credential Access | T1552.004 | Private Keys | SSH key extraction |
| Credential Access | T1555 | Credentials from Password Stores | Browser password stores |
| Collection | T1056.001 | Keylogging | Real-time keystroke capture |
| Collection | T1113 | Screen Capture | Screenshot |
| Collection | T1125 | Video Capture | Webcam recording |
| Collection | T1123 | Audio Capture | Microphone recording |
| Collection | T1115 | Clipboard Data | Clipboard monitoring |
| Discovery | T1082 | System Information Discovery | OS, hardware recon |
| Discovery | T1518 | Software Discovery | Installed software enum |
| Discovery | T1057 | Process Discovery | Process listing |
| Discovery | T1046 | Network Service Discovery | Network recon |
| Discovery | T1526 | Cloud Service Discovery | Cloud config discovery |
| C2 | T1572 | Protocol Tunneling | bore.pub TCP tunnel |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | Data qua tunnel |
| Impact | T1499.002 | Service Exhaustion Flood | Fork bomb (optional) |
Nhận định
DEEP#DOOR không phải là mã độc sophistication cao nhất về kỹ thuật — không có zero-day, không có driver-level rootkit, không có firmware implant. Nhưng nó đại diện cho một xu hướng đáng lo ngại: attack chain được thiết kế tối ưu để bypass detection layer thông thường mà không cần complexity cao.
Bốn điểm khiến chúng tôi đánh giá DEEP#DOOR là mối đe dọa đáng chú ý cho môi trường doanh nghiệp Việt Nam:
Thứ nhất, cơ chế embedding payload trong dropper phá vỡ assumption của nhiều detection rule dạng "tìm file độc lập bị tải về". Khi không có network download trong giai đoạn infection, các giải pháp chỉ monitor network egress ở giai đoạn đầu sẽ bỏ qua.
Thứ hai, việc dùng bore.pub là lựa chọn thông minh về mặt operational security. Nhiều tổ chức không block tunneling services vì chúng có legitimate use (developer tools, remote access). Chúng tôi thường xuyên thấy các tổ chức tại Việt Nam thiếu visibility vào outbound connections đến các public tunnel/proxy services.
Thứ ba, watchdog mechanism là điểm khác biệt so với các RAT thông thường. Trong thực tế, incident responders thường tập trung vào xóa persistence trước khi kill process — với DEEP#DOOR, thứ tự này bị đảo ngược và nếu không biết, cleanup sẽ thất bại.
Thứ tư, danh sách credentials bị nhắm mục tiêu rất toàn diện — không chỉ browser passwords mà còn SSH keys và cloud tokens. Với xu hướng doanh nghiệp VN đẩy mạnh cloud adoption (AWS, Azure, GCP), một instance bị compromise có thể dẫn đến cloud account takeover — hậu quả vượt xa một endpoint đơn lẻ.
Về attribution: hiện không có bằng chứng liên kết DEEP#DOOR với threat actor cụ thể. Khả năng đây là commodity tool hoặc framework có thể được nhiều actor sử dụng cho các mục tiêu khác nhau — điều này thực ra làm tăng rủi ro, không phải giảm.
Khuyến nghị
Immediate (0-24h)
Kiểm tra network logs tìm bất kỳ kết nối outbound nào đến
bore.pub, đặc biệt trên port 41234–41243. Đây là IoC highest confidence, ít false positive nhấtHunt process tree: tìm
python.exeđược spawn từwscript.exe,cscript.exe, hoặccmd.exeReview Startup folder trên tất cả Windows endpoints:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\— bất kỳ.vbsfile nào không rõ nguồn gốc cần điều traKiểm tra PowerShell logs (nếu logging đã được bật) cho pattern
Set-MpPreference -Disable*
Short-term (1-7 ngày)
Enable PowerShell Script Block Logging nếu chưa có — đây là prerequisite để detect DEEP#DOOR và hàng chục loại malware tương tự. Command:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1Triển khai detection rules: Ưu tiên rule "outbound TCP đến bore.pub" và "Python spawned từ scripting host" trong SIEM/EDR
Audit cloud credentials: Review AWS IAM, Azure AD, GCP IAM — kiểm tra access patterns bất thường trong 30 ngày qua, đặc biệt từ IP/location mới
User awareness: Nhắc nhở về phishing emails có đính kèm file
.bathoặc archive chứa script
Long-term
Network egress visibility: Nhiều tổ chức có blind spot với outbound TCP đến các tunneling/proxy services. Xem xét DNS/proxy logging toàn diện, không chỉ HTTP/HTTPS
EDR với memory protection: Các kỹ thuật AMSI/ETW patching in-memory cần EDR có khả năng detect API hook manipulation — không phải tất cả EDR đều cover điểm này
Credential hygiene: Giảm thiểu việc lưu cloud credentials dưới dạng plaintext files (
~/.aws/credentials). Chuyển sang credential provider với short-lived tokens (AWS IAM Roles, Azure Managed Identity)Incident response playbook: Bổ sung bước "terminate malware process trước, cleanup persistence sau" vào IR playbook — đặc biệt quan trọng khi đối phó với malware có watchdog mechanism
Tham khảo
https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html
https://www.securonix.com/blog/deepdoor-python-backdoor-and-credential-stealer
https://cybersecuritynews.com/deepdoor-stealer-harvests-browser-passwords/
https://socprime.com/active-threats/deepdoor-stealer-stealthy-python-backdoor/
