2026-05-03 04:28:08 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Securonix安全团队发现新型Python后门框架DEEP#DOOR，其利用公共隧道服务bore.pub建立C2通道，可窃取浏览器凭据、云服务密钥和SSH密钥。该后门采用无文件落地技术，具备高度模块化功能包括远程控制、键盘记录和防御规避机制，并通过多种方式实现持久化。防御建议包括强化终端检测、监控异常Python进程和公共隧道连接，以及加强云凭据保护。 综合评分： 82 文章分类： 恶意软件,威胁情报,红队,内网渗透,安全运营

cover_image

【安全圈】新型Python后门DEEP#DOOR来袭：竟用公共隧道服务窃取云凭据

安全圈

2026年5月2日 20:09 江苏

在小说阅读器读本章

去阅读

关键词

Python后门

安全研究人员发现一款名为DEEP#DOOR的Python后门框架，竞然利用公共TCP隧道服务bore.pub进行C2控制，可窃取浏览器和云凭据（AWS、Google Cloud、Azure）。当前攻击似乎有限，但具备高度模块化，值得警惕。

威胁概述

| 项目 | 详情 | | — | — | | 恶意软件 | DEEP#DOOR（Python后门框架） | | 开发语言 | Python（嵌入式） | | C2通道 | bore.pub（公共隧道服务） | | 目标 | 浏览器凭据、云凭据、SSH密钥 |

Securonix安全研究团队发现了这个高度隐蔽的后门框架。

攻击链分析

入侵方式

攻击从batch脚本（install_obf.bat）开始：

💻 禁用Windows安全控制
🐍 动态提取嵌入式Python payload（svc.py）
🔄 通过多种机制建立持久化：

Startup文件夹脚本
注册表Run键
计划任务
WMI订阅（可选）

核心特点

无文件落地：Python payload直接嵌入在dropper脚本中，运行时提取重建，大大减少外部依赖和传统检测机会。

功能清单

一旦部署，DEEP#DOOR可以：

C2新玩法：公共隧道服务

为什么用bore.pub？

传统C2需要自己搭建服务器，但DEEP#DOOR选择公共隧道服务bore.pub：

✅ 无需搭建专属基础设施
✅ 流量混入正常 traffic
✅ 不在payload中嵌入服务器信息

优势：减少特征，快速切换目标。

防御规避

DEEP#DOOR具备大量反分析和防御规避机制：

持久化机制

多个自动持久化路径：

📁 Startup文件夹脚本
🔑 注册表Run键
⏰ 计划任务
🔄 看门狗机制：自动重建被删除的持久化文件

难以清除：即使删除也会自动恢复。

现状评估

根据Securonix研究：

“当前观察到的攻击似乎有限且有一定针对性，而非大规模广泛传播。”

但由于框架的模块化特性，不同威胁参与者可能 adaptation 用于各种用例。

防御建议

🔒 强化终端检测和响应（EDR）
📊 监控异常Python进程
🌐 监控bore.pub等公共隧道服务的异常连接
🔑 加强云凭据保护（多因素认证）
📝 定期审计启动项和计划任务

END

阅读推荐

【安全圈】热门 WordPress 重定向插件暗藏休眠后门多年

【安全圈】开源电子病历软件 OpenEMR 发现 38 个漏洞

【安全圈】有缺陷的 VECT 2.0 勒索软件对大文件充当数据擦除器

【安全圈】Linux 内核潜伏 9 年漏洞披露：732 字节脚本攻破 Ubuntu 等发行版，提权至 root 最高权限

【安全圈】cPanel被曝惊天高危漏洞，千万级服务器面临“裸奔”，官方紧急发布补丁！

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈《【安全圈】新型Python后门DEEP#DOOR来袭：竟用公共隧道服务窃取云凭据》