文章总结： Deep#Door是一种新型RAT恶意软件，使用Python编写的后门通过批处理文件自嵌入载荷实现无文件攻击，利用公共隧道服务bore.pub建立隐蔽C2通信。其采用多重持久化机制和反检测技术（如禁用Defender、沙箱检测），具备远程控制、数据窃取等完整功能。建议通过监测SystemServices目录写入、bore.pub连接等行为特征进行防御。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,终端安全,应急响应

Deep#Door新型RAT利用隐蔽与持久化技术攻击Windows系统

FreeBuf

2026年5月3日 18:02 上海

在小说阅读器读本章

去阅读

#

#

Part01

攻击特征分析

#

Securonix安全研究人员发现名为Deep#Door的复杂恶意软件活动。攻击者使用基于Python的隐蔽后门，通过出人意料的简单投递方式实现对Windows系统的深度持久化访问。该活动的突出特点不仅在于其功能，更在于其精巧的规避检测机制。

Securonix发布的报告指出：”与传统依赖外部载荷下载的恶意软件加载器不同，Deep#Door将其Python植入程序直接嵌入到释放器脚本中，并在执行时于内存和磁盘中重建。随后植入程序会与托管在bore[.]pub（一项公开的TCP隧道服务）上的攻击者基础设施建立通信，无需暴露专用C2服务器即可实现隐蔽远程访问。”

Part02

攻击技术细节

攻击链始于单个批处理文件install_obf.bat。执行时，该脚本会读取自身内容，直接解析出隐藏在脚本中的Python载荷。提取出的svc.py文件会被静默写入%LOCALAPPDATA%\SystemServices\目录，该文件夹名称特意设计为与合法Windows组件相似。

这种自引用技术是恶意软件难以早期检测的关键原因。在初始阶段没有可疑下载行为、不联系外部URL、也没有可标记的编译可执行文件。所有操作都发生在一个看似常规维护工具的脚本内部。

加载器会首先系统性地破坏主机防御：禁用Windows Defender、关闭PowerShell日志记录、抑制防火墙日志、绕过SmartScreen。当Python植入程序激活时，系统已处于完全无防护状态。

报告补充道：”该恶意软件包含众多高级反分析和防御规避机制，包括沙箱检测、AMSI和ETW补丁、ntdll脱钩、篡改Windows Defender、清除命令行记录、时间戳覆盖以及日志清除。”

Part03

持久化机制

Deep#Door采用多管齐下的持久化策略：同时植入Windows启动文件夹、注册表Run键、计划任务甚至WMI事件订阅。此外，后台监视线程会持续检查这些持久化节点，自动恢复任何被删除的条目。这意味着仅清除单一组件无法彻底清除感染，必须同时处理所有机制，使得手动修复异常困难。

激活前，恶意软件会执行系列检查以确认运行环境是否为真实机器。它会检测调试器、虚拟机特征、沙箱指标（如通用用户名或低系统资源）乃至Wireshark或IDA Pro等安全研究工具。发现可疑迹象即停止运行，有效规避自动化扫描平台的检测。

Part04

隐蔽通信技术

Deep#Door采用非常规C2通信方式：通过合法公共TCP隧道服务bore.pub建立连接，而非更易被检测拦截的专用攻击服务器。它会扫描动态端口范围寻找活动隧道，使用质询-响应机制认证，建立看似普通隧道流量的隐蔽通道。

网络安全公司指出：这种方案具有三重优势：

• 允许攻击者在不开放防火墙端口的情况下将内部服务暴露至互联网

• 消除对攻击者自有基础设施的依赖

• 使恶意流量与合法隧道使用混为一体

由于流量与同一服务的合法使用混杂，这显著增加了溯源难度并降低了基于网络的检测可靠性。

Part05

功能与防御建议

激活后的植入程序具备完整远程访问功能：执行shell命令、截屏、录音、记录键盘输入、访问摄像头、窃取浏览器密码、SSH密钥与云凭证、扫描内网。极端情况下还能覆写主引导记录或强制系统崩溃，表明其可根据需要从间谍活动转向破坏行动。

Securonix建议将检测重点放在行为特征而非文件签名上：引用%~f0（自文件标记）的PowerShell命令、向SystemServices目录的文件写入、修改Defender设置或事件日志服务、以及通向bore.pub端口41234-41243的出站连接。

报告总结称：”Deep#Door凸显了威胁行为者持续向无文件、脚本驱动的入侵框架演进，这类框架高度依赖原生系统组件和Python等解释型语言。通过将载荷直接嵌入释放器并在运行时提取，恶意软件大幅减少外部依赖并限制传统检测机会。使用公共隧道基础设施（bore[.]pub）进一步消除了对专用攻击服务器的需求，实现了与合法流量模式混为一体的隐蔽弹性C2通信。”

参考来源：

New Deep#Door RAT uses stealth and persistence to target Windows

New Deep#Door RAT uses stealth and persistence to target Windows

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Deep#Door新型RAT利用隐蔽与持久化技术攻击Windows系统》