C
月内に
Windowsシステムを標的としたPythonベースの遠隔操作悪性コード「Deep#Door」
📌 一言でいうと
Windowsシステムを標的としたPythonベースの遠隔操作悪性コード「Deep#Door」が公開されました。このマルウェアは単一のバッチファイル内にペイロードを隠蔽し、実行時に復元して展開することで、外部通信を伴わずに初期侵入を試みるのが特徴です。Windows Defenderの無効化やAMSI/ETWパッチなどの高度な防御回避策を講じ、レジストリや予約タスクを通じて強力な永続性を確保します。
🏢影響範囲
Windows OSを利用するあらゆる組織および企業
✅該当時の対応
不審なバッチファイル(.bat)の実行を禁止し、エンドポイント検出・応答(EDR)による不審なプロセス(特にPythonスクリプトの異常な動作)の監視を強化してください。また、Windows Defender等のセキュリティソフトを最新の状態に保ち、特権アカウントの管理を徹底してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PythonベースのRAT「Deep#Door」への対応について
お疲れさまです。新種の遠隔操作悪性コード(RAT)に関する情報共有です。
■ 概要
「Deep#Door」と名付けられたPythonベースのマルウェアが確認されました。単一のバッチファイル(install_obf.bat)からペイロードを展開し、Windows Defenderの無効化、AMSI/ETWパッチ、ntdllアンフッキングなどの高度な回避策を用いてシステムに長期潜伏します。
■ 影響範囲
- Windows OS全般
■ 対応手順
1. EDR/SIEMにて、%LOCALAPPDATA%\SystemServices\ フォルダへの不審なファイル作成を監視してください。
2. Pythonプロセスによる不自然なレジストリ変更やタスクスケジューラの登録を検知ルールに追加してください。
3. ユーザーに対し、出所不明なバッチファイルの実行を禁止する周知を徹底してください。
■ 参考情報
- Securonix Threat Research Team 分析レポート
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。新種の遠隔操作悪性コード(RAT)に関する情報共有です。
■ 概要
「Deep#Door」と名付けられたPythonベースのマルウェアが確認されました。単一のバッチファイル(install_obf.bat)からペイロードを展開し、Windows Defenderの無効化、AMSI/ETWパッチ、ntdllアンフッキングなどの高度な回避策を用いてシステムに長期潜伏します。
■ 影響範囲
- Windows OS全般
■ 対応手順
1. EDR/SIEMにて、%LOCALAPPDATA%\SystemServices\ フォルダへの不審なファイル作成を監視してください。
2. Pythonプロセスによる不自然なレジストリ変更やタスクスケジューラの登録を検知ルールに追加してください。
3. ユーザーに対し、出所不明なバッチファイルの実行を禁止する周知を徹底してください。
■ 参考情報
- Securonix Threat Research Team 分析レポート
対応優先度: 高
対応期限: 速やかに確認
Subject: [Threat Intel] Technical Analysis of Python-based RAT 'Deep#Door'
Dear Security Team,
We are sharing technical details regarding a newly identified remote access trojan (RAT) named 'Deep#Door'.
■ Overview
Deep#Door is a Python-based malware that utilizes a single batch file (install_obf.bat) to deploy its payload, bypassing initial network-based detection. It employs sophisticated evasion techniques, including disabling Windows Defender, patching AMSI/ETW, and ntdll unhooking, to maintain long-term persistence.
■ Scope
- Windows Operating Systems
■ Mitigation Steps
1. Monitor for suspicious file creation in the %LOCALAPPDATA%\SystemServices\ directory via EDR.
2. Implement detection rules for unusual Python process behavior, specifically regarding registry modifications and scheduled task creation.
3. Enforce policies prohibiting the execution of untrusted batch files.
■ Reference
- Securonix Threat Research Team Analysis
Priority: High
Deadline: Immediate review
Dear Security Team,
We are sharing technical details regarding a newly identified remote access trojan (RAT) named 'Deep#Door'.
■ Overview
Deep#Door is a Python-based malware that utilizes a single batch file (install_obf.bat) to deploy its payload, bypassing initial network-based detection. It employs sophisticated evasion techniques, including disabling Windows Defender, patching AMSI/ETW, and ntdll unhooking, to maintain long-term persistence.
■ Scope
- Windows Operating Systems
■ Mitigation Steps
1. Monitor for suspicious file creation in the %LOCALAPPDATA%\SystemServices\ directory via EDR.
2. Implement detection rules for unusual Python process behavior, specifically regarding registry modifications and scheduled task creation.
3. Enforce policies prohibiting the execution of untrusted batch files.
■ Reference
- Securonix Threat Research Team Analysis
Priority: High
Deadline: Immediate review