文章总结： 网络安全研究人员披露名为DEEP#DOOR的Python后门框架，该恶意软件通过批处理脚本传播，利用bore.pub隧道服务建立C2通信，具备反分析、持久化监控功能，可窃取浏览器凭证、云服务密钥等敏感数据。研究显示当前攻击范围有限但模块化设计具适应不同场景潜力，建议关注无文件脚本框架演进趋势。 综合评分： 78 文章分类： 恶意软件,威胁情报,漏洞分析,安全工具,终端安全

新型 Python 后门使用隧道服务窃取浏览器和云凭证

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月1日 08:57 湖北

在小说阅读器读本章

去阅读

导读

网络安全研究人员已经披露了一个名为 DEEP#DOOR 的隐蔽的基于 Python 的后门框架的细节，该框架具备建立持久访问权限并从被入侵主机中收集广泛敏感信息的能力。

网络安全研究人员披露了一个名为DEEP#DOOR的基于 Python 的后门框架细节，该框架能够建立持久访问权限，并从受感染的主机中收集各种敏感信息。

Securonix 的研究人员 Akshay Gaikwad、Shikha Sangwan 和 Aaron Beardslee 在报告中表示：“入侵链始于执行批处理脚本 (‘install_obf.bat’)，该脚本会禁用 Windows 安全控制，动态提取嵌入式 Python 有效载荷 (‘svc.py’)，并通过多种机制建立持久性，包括启动文件夹脚本、注册表运行项、计划任务和可选的 WMI 订阅。”

经评估，该批处理脚本是通过网络钓鱼等传统方式传播的。目前尚不清楚传播该恶意软件的攻击范围有多广，以及是否有任何感染成功。

Securonix 高级安全研究人员称：“根据我们目前的分析，没有明确证据表明该恶意软件框架被广泛用于大规模或高活跃度的攻击活动中。观察到的使用情况似乎有限且具有一定的针对性，而不是广泛传播。”

“现阶段，我们尚未发现任何明确的迹象表明特定地区或行业部门成为系统性攻击目标。然而，鉴于该框架的模块化特性，不同的威胁组织有可能随着时间的推移对其进行调整，以适应不同的使用场景。”

该攻击链的显著特点在于，核心 Python 植入程序直接嵌入在投放器脚本中，并从中提取、重建和执行。这减少了反复连接外部基础设施的需要，并最大限度地减少了取证痕迹。

一旦启动，该恶意软件会与基于 Rust 的隧道服务“bore[.]pub”建立通信，从而允许操作者发出指令，以执行远程命令并进行广泛的监控。这包括：

• 反向 shell
• 系统侦察
• 键盘记录
• 剪贴板监控
• 屏幕截图
• 网络摄像头访问
• 环境音频录制
• 网络浏览器凭证收集
• SSH密钥提取
• 存储在 Google Chrome、Mozilla Firefox 和 Windows 凭据管理器中的凭据
• 云凭证盗窃（亚马逊网络服务、谷歌云和微软Azure）

使用公共 TCP 隧道服务进行命令与控制 (C2) 具有以下几个优点：无需设置专用基础设施，可混合恶意流量，并避免将服务器的详细信息嵌入有效载荷中。

与此同时，DEEP#DOOR 还整合了大量反分析和防御规避机制，例如沙箱、调试器和虚拟机 (VM) 检测、AMSI 和 Windows 事件跟踪 ( ETW ) 补丁、NTDLL 解钩、Microsoft Defender 篡改、SmartScreen 绕过、PowerShell 日志抑制、命令行擦除、时间戳篡改和日志清除，以逃避侦测并使事件响应工作复杂化。

它还采用了多种持久化机制，包括创建 Windows 启动文件夹脚本、注册表运行项和计划任务，同时还依赖于监视机制来确保持久化工件没有被删除，如果被删除，则自动重新创建它们，这使得修复变得困难。

Securonix公司表示：“最终植入的恶意软件是一个功能齐全的远程访问木马（RAT），能够在受感染的环境中进行长期驻留、间谍活动、横向移动和后续渗透操作。该恶意软件通过直接篡改Windows安全和遥测机制，优先逃避检测和取证。”

“DEEP#DOOR 凸显威胁组织不断向无文件、脚本驱动的入侵框架演进的趋势，这些框架严重依赖原生系统组件和 Python 等解释型语言。通过将有效载荷直接嵌入投放器并在运行时提取，该恶意软件显著减少了外部依赖性，并限制了传统的检测机会。”

技术报告：

《Deep#Door Stealer：利用隧道技术、多层持久化和内存监控功能的隐蔽式 Python 后门和凭证窃取器》

Deep#Door Stealer

新闻链接：

https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《新型 Python 后门使用隧道服务窃取浏览器和云凭证》