🔥 この記事の詳細
2026-05-02 更新
C
月内に

Deep#Doorと呼ばれる新型のPythonベースのRAT

脆弱性🌐 英語ソース
📅 2026-05-02📰 freebuf
📌 一言でいうと
Deep#Doorと呼ばれる新型のPythonベースのRATが発見されました。このマルウェアは、バッチファイル内にPythonペイロードを直接埋め込むことで検知を回避し、Windows Defenderの無効化やAMSI/ETWのパッチ適用などの高度な防御回避策を講じます。また、レジストリ、タスクスケジューラ、WMIなど複数の手法で永続性を確保し、bore.pubという公開TCPトンネルサービスを利用してC2通信を行うのが特徴です。
🏢影響範囲
Windows OSを利用しているあらゆる組織。特に、不審なバッチファイルを実行するリスクがある環境。
該当時の対応
不審なバッチファイル(.bat)の実行を禁止し、エンドポイントでのスクリプト実行監視を強化すること。また、bore.pubなどの不審なトンネリングサービスの通信をネットワークレベルで遮断することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】新型RAT「Deep#Door」の検知回避および永続化技術について

お疲れさまです。新型のRAT「Deep#Door」に関する情報共有です。

■ 概要
Pythonベースの高度なRATで、バッチファイルにペイロードを埋め込む自参照形式の投下手法を用います。Windows Defenderの無効化、AMSI/ETWパッチ、ntdllアンフッキングなどの強力な防御回避機能を備えており、bore.pub(公開TCPトンネル)をC2として利用します。

■ 影響範囲
- Windows OS全般

■ 対応手順
1. EDR/SIEMにて、%LOCALAPPDATA%\SystemServices\ への不審なファイル書き込みを監視してください。
2. bore.pub への通信ログを確認し、不審なアウトバウンド通信がないか調査してください。
3. WMIイベントサブスクリプションやレジストリRunキーなどの永続化ポイントに不審なエントリがないか点検してください。

■ 参考情報
- Securonix Security Research Report

対応優先度: 高
対応期限: 速やかに確認
Subject: [Threat Intel] New RAT "Deep#Door" Evasion and Persistence Techniques

Dear Team,

We are sharing information regarding a newly discovered RAT named "Deep#Door."

■ Overview
Deep#Door is a Python-based RAT that uses a self-referencing batch file to deliver its payload, bypassing traditional download-based detection. It features advanced evasion capabilities, including disabling Windows Defender, patching AMSI/ETW, and ntdll unhooking. Notably, it uses the public TCP tunnel service bore.pub for C2 communication to avoid exposing dedicated infrastructure.

■ Scope
- Windows OS environments

■ Recommended Actions
1. Monitor for suspicious file creation in %LOCALAPPDATA%\SystemServices\ via EDR/SIEM.
2. Audit network logs for outbound traffic to bore.pub.
3. Inspect persistence mechanisms, including WMI event subscriptions, Registry Run keys, and Scheduled Tasks, for anomalies.

■ Reference
- Securonix Security Research Report

Priority: High
Deadline: Immediate review
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-02 のまとめ🔍 記事を検索