C
月内に
Windowsを標的とした新しいPythonベースのRAT「Deep#Door」
📌 一言でいうと
Windowsを標的とした新しいPythonベースのRAT「Deep#Door」が発見されました。このマルウェアはバッチファイル内にインプラントを埋め込み、メモリ上およびディスク上で再構築することで検知を回避します。また、Windowsの防御機能を無効化し、公開TCPトンネリングサービス(bore.pub)を利用してC2通信を行うことで、攻撃者のインフラを隠蔽する巧妙な手法を用いています。
🏢影響範囲
Windows OSを利用しているあらゆる組織・企業
✅該当時の対応
不審なバッチファイルやスクリプトの実行を禁止し、エンドポイント検知・応答(EDR)による不審なプロセス挙動(Pythonの不自然な起動や防御機能の停止)の監視を強化してください。また、bore.pubなどの公開トンネリングサービスへの通信をネットワークレベルで制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】新型RAT「Deep#Door」の検出と対策について
お疲れさまです。新型のPythonベースRAT「Deep#Door」に関する情報共有です。
■ 概要
Deep#Doorは、バッチファイルにPythonインプラントを埋め込み、実行時にメモリおよびディスク上で再構築するステルス性の高いマルウェアです。Windows防御機能の停止および、公開TCPトンネリングサービス(bore.pub)をC2通信に利用して検知を回避します。
■ 影響範囲
- Windows OS全般
■ 対応手順
1. EDR/SIEMにて、不審なバッチファイルからのPythonプロセス起動およびWindows Defender等の停止イベントを監視してください。
2. ネットワーク境界において、bore.pub への通信を遮断または監視対象としてください。
3. 未知のスクリプト実行を制限するポリシー(AppLocker等)の適用を検討してください。
■ 参考情報
- Securonix Report
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。新型のPythonベースRAT「Deep#Door」に関する情報共有です。
■ 概要
Deep#Doorは、バッチファイルにPythonインプラントを埋め込み、実行時にメモリおよびディスク上で再構築するステルス性の高いマルウェアです。Windows防御機能の停止および、公開TCPトンネリングサービス(bore.pub)をC2通信に利用して検知を回避します。
■ 影響範囲
- Windows OS全般
■ 対応手順
1. EDR/SIEMにて、不審なバッチファイルからのPythonプロセス起動およびWindows Defender等の停止イベントを監視してください。
2. ネットワーク境界において、bore.pub への通信を遮断または監視対象としてください。
3. 未知のスクリプト実行を制限するポリシー(AppLocker等)の適用を検討してください。
■ 参考情報
- Securonix Report
対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] New Deep#Door RAT targeting Windows
Hi team,
This is a technical alert regarding a new Python-based RAT known as Deep#Door.
■ Overview
Deep#Door utilizes a stealthy delivery mechanism by embedding its Python implant within a batch file, reconstructing it during execution. It is designed to disable Windows security defenses and leverages the public TCP tunneling service 'bore.pub' for C2 communication to mask its infrastructure.
■ Scope
- Windows OS
■ Mitigation Steps
1. Monitor EDR/SIEM for suspicious Python processes spawned from batch files and unauthorized disabling of security software.
2. Block or monitor network traffic to the domain 'bore.pub'.
3. Enforce strict script execution policies (e.g., AppLocker) to prevent the execution of untrusted batch files.
■ Reference
- Securonix Report
Priority: High
Deadline: Immediate review
Hi team,
This is a technical alert regarding a new Python-based RAT known as Deep#Door.
■ Overview
Deep#Door utilizes a stealthy delivery mechanism by embedding its Python implant within a batch file, reconstructing it during execution. It is designed to disable Windows security defenses and leverages the public TCP tunneling service 'bore.pub' for C2 communication to mask its infrastructure.
■ Scope
- Windows OS
■ Mitigation Steps
1. Monitor EDR/SIEM for suspicious Python processes spawned from batch files and unauthorized disabling of security software.
2. Block or monitor network traffic to the domain 'bore.pub'.
3. Enforce strict script execution policies (e.g., AppLocker) to prevent the execution of untrusted batch files.
■ Reference
- Securonix Report
Priority: High
Deadline: Immediate review