2026-05-06 07:05:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 网络安全研究人员披露DEEP#DOORPython后门框架，通过批处理脚本传播并禁用Windows安全控制，利用嵌入式Python载荷减少外部依赖。该恶意软件通过公共隧道服务bore.pub实现隐蔽通信，具备反向Shell、键盘记录、凭证窃取等功能，采用多重持久化机制和反分析技术规避检测。建议加强终端防护监控异常网络连接。 综合评分： 85 文章分类： 恶意软件,漏洞分析,威胁情报,渗透测试,WEB安全

cover_image

Python 新威胁：利用公开隧道服务，批量窃取浏览器与云凭据

FreeBuf

2026年5月2日 18:03 上海

在小说阅读器读本章

去阅读

#

网络安全研究人员近日披露了一款名为DEEP#DOOR的隐蔽Python后门框架，该工具能够建立持久化访问并从受感染主机窃取多种敏感信息。Securonix研究员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在向The Hacker News提供的报告中指出：”攻击链始于执行批处理脚本（’install_obf.bat’），该脚本会禁用Windows安全控制，动态提取内嵌的Python有效载荷（’svc.py’），并通过启动文件夹脚本、注册表Run键、计划任务及可选的WMI订阅等多种机制实现持久化。”

据评估，该批处理脚本通过钓鱼等传统方式传播。目前尚不清楚该恶意软件的传播范围及是否已有成功感染案例。

#

Part01

嵌入式载荷降低暴露风险

与大多数将敏感信息存储在操作系统受保护密钥链中的安全应用不同，Cursor 将这些凭证保存在未加密的本地 SQLite 数据库中，路径为：~/Library/Application Support/Cursor/User/globalStorage/state.vscdb。

该攻击链的显著特点是核心Python植入程序直接嵌入在释放器脚本内部，从中提取、重构并执行。这种方式减少了对外部基础设施的重复访问需求，同时最小化了取证痕迹。恶意软件启动后，会与基于Rust的隧道服务”bore[.]pub”建立通信，使攻击者能够执行远程命令并实施广泛监控，具体功能包括：

反向Shell
系统侦察
键盘记录
剪贴板监控
屏幕截图
摄像头访问
环境音频录制
网页浏览器凭证窃取
SSH密钥提取
谷歌Chrome、Mozilla Firefox及Windows凭证管理器中的凭据
云服务凭证窃取（亚马逊AWS、谷歌云及微软Azure）

Part02

公共隧道服务实现隐蔽通信

#

使用公共TCP隧道服务进行命令与控制（C2）具有多重优势：无需搭建专用基础设施、可混淆恶意流量，且有效载荷中不会嵌入服务器详细信息。同时，DEEP#DOOR整合了多种反分析和防御规避机制，包括沙箱/调试器/虚拟机检测、AMSI和ETW补丁、NTDLL脱钩、篡改微软 Defender、绕过SmartScreen、抑制PowerShell日志记录、清除命令行记录、时间戳篡改及日志清除等，以此躲避检测并增加事件响应难度。

Part03

多重持久化机制增加清除难度

该后门采用多种持久化机制，包括创建Windows启动文件夹脚本、注册表Run键和计划任务，同时依赖看门狗机制确保持久化组件未被移除——若发现被清除则会自动重建，使得根治变得困难。Securonix表示：”最终植入程序作为功能完备的远程访问木马（RAT），可在受感染环境中实现长期驻留、间谍活动、横向移动和漏洞利用后操作。该植入程序通过直接篡改Windows安全与遥测机制，优先考虑规避检测和取证可见性。”

“DEEP#DOOR凸显了威胁行为者持续向无文件化、脚本驱动的入侵框架演进，这些框架高度依赖原生系统组件和Python等解释型语言。通过将有效载荷直接嵌入释放器并在运行时提取，该恶意软件显著减少了外部依赖，限制了传统检测机会。”

参考来源：

New Python Backdoor Uses Tunneling Service to Steal Browser and Cloud Credentials

https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Python 新威胁：利用公开隧道服务，批量窃取浏览器与云凭据》