引言脚本化攻击的新时代2026年第一季度全球网络安全态势发生了显著变化。根据守内安与ASRC联合发布的《2026年第一季电子邮件安全观察报告》传统携带病毒文件的攻击比例持续下降取而代之的是带有恶意链接的钓鱼邮件以及高度定制化的社交工程攻击大幅增加。攻击者正积极转向就地取材式的攻击Living off the Land与合法服务寄生的策略不再直接把恶意载荷植入附件而是利用合法云端服务、各式混淆脚本与快捷方式文件来作为攻击链的开端。在这一背景下2026年4月30日全球知名网络安全公司Securonix的威胁研究团队披露了一个名为Deep#Door的新型Windows平台Python后门框架。该框架以其独特的混淆批处理加载器内嵌Python RAT架构实现了近乎无文件的攻击效果同时具备强大的免杀、持久化与全链路窃密能力。与传统恶意软件不同Deep#Door不依赖外部服务器下载载荷而是将完整的Python后门直接嵌入在批处理脚本中这一设计极大地降低了被网络安全设备检测到的概率。本文将对Deep#Door进行全面、深入的技术解析揭示其攻击链的每一个环节分析其核心技术亮点并提供实用的威胁狩猎、检测与防护方法。同时我们还将探讨这一新型攻击框架所代表的未来网络攻击趋势为企业和个人用户提供前瞻性的安全建议。一、Deep#Door概述1.1 基本信息Deep#Door是一个针对Windows系统设计的远程访问木马RAT与凭证窃取工具由Securonix威胁研究团队于2026年4月30日首次公开披露。该恶意软件采用模块化设计主要由两部分组成一个高度混淆的批处理加载器通常命名为install_obf.bat或finallyJob.bat和一个功能强大的Python后门通常命名为svc.py或c.py。项目详情恶意软件名称Deep#Door / Deep#Door Stealer / Deep#Door RAT首次发现时间2026年4月30日研究机构Securonix Threat Research目标平台Windows 10/11主要编程语言Batch Python传播途径钓鱼邮件、恶意附件、伪装软件、社交工程主要功能远程控制、凭证窃取、屏幕监控、键盘记录当前活动状态有限针对性攻击未大规模传播1.2 攻击目标与动机根据Securonix的研究报告目前Deep#Door的活动范围有限主要用于针对性攻击而非大规模传播。研究人员尚未发现任何明确的迹象表明特定地区或行业部门成为系统性攻击目标但鉴于该框架的模块化特性不同的威胁组织有可能随着时间的推移对其进行调整以适应不同的使用场景。Deep#Door的主要攻击目标是窃取高价值的数字凭证包括主流浏览器Chrome、Edge、Firefox保存的密码和Cookie云服务AWS、Azure、GCP的访问令牌和配置文件SSH密钥和VPN配置Windows系统WiFi密码剪贴板数据和系统信息这些凭证一旦被窃取攻击者可以进一步横向移动到企业内部网络访问敏感数据甚至发起勒索软件攻击。二、完整攻击链深度解析Deep#Door的攻击链设计极为精巧分为三个主要阶段入口阶段混淆批处理执行、载荷部署阶段Python后门提取与执行和持久化与窃密阶段。整个攻击链几乎不依赖外部网络连接所有关键操作都在本地完成这使得传统基于网络流量的检测方法难以奏效。2.1 入口阶段高度混淆的批处理加载器Deep#Door的攻击始于一个看似普通的批处理文件install_obf.bat。这个批处理文件经过了多层混淆处理使得静态分析几乎无法识别其真实功能。2.1.1 混淆技术详解批处理加载器采用了多种先进的混淆技术变量名随机化所有变量名都被替换为随机生成的字符串如%a1b2c3%、%x9y8z7%使得代码难以阅读。命令拆分与重组将单个命令拆分成多个部分通过变量拼接的方式在运行时重建。例如将reg add拆分为regadd。Base64与XOR加密关键字符串如注册表路径、文件名都经过Base64或XOR加密在运行时才解密。自引用解析技术这是Deep#Door最具特色的技术之一。批处理脚本会读取自身的内容通过PowerShell子进程使用正则表达式提取被#PYTHON_START和#PYTHON_END标记包围的Python代码块。2.1.2 核心执行流程当用户双击运行install_obf.bat后脚本会按以下顺序执行禁用安全机制首先通过修改注册表禁用Windows Defender的实时保护和反间谍功能reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Defender /v DisableAntiSpyware /t REG_DWORD /d 1 /f reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Defender /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f绕过系统防护禁用代理设置防止网络流量被安全代理服务器检测reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyEnable /t REG_DWORD /d 0 /f清除系统日志删除系统、安全和应用程序事件日志消除攻击痕迹wevtutil cl System wevtutil cl Security wevtutil cl Application提取Python载荷通过PowerShell读取自身内容提取内嵌的Base64编码的Python代码解码后写入到%LOCALAPPDATA%\SystemServices\svc.py文件中。这个路径被精心选择以模仿合法的Windows服务组件避免引起管理员的注意。执行Python后门调用系统中已安装的Python解释器执行svc.pypython %LOCALAPPDATA%\SystemServices\svc.py2.2 载荷部署阶段Python后门的反分析与初始化Python后门svc.py同样经过了严格的混淆和反分析处理以防止被安全软件检测和逆向工程。2.2.1 反分析技术虚拟机与沙箱检测后门会检查系统中是否存在常见的虚拟机和沙箱环境特征如特定的硬件ID、进程名、文件路径和注册表项。如果检测到异常环境后门会立即退出不执行任何恶意操作。调试器检测通过检查Windows API函数IsDebuggerPresent()和CheckRemoteDebuggerPresent()的返回值判断是否有调试器附加到进程上。AMSIE与ETW修补在内存中修补.NET的反恶意软件扫描接口AMSIE和事件跟踪ETW功能阻止安全软件对其行为进行监控和分析。字符串加密所有关键字符串如C2服务器地址、认证密钥、文件路径都经过Base64和XOR双重加密在运行时才动态解密。2.2.2 系统侦察在完成反分析检查后后门会对受感染系统进行全面的侦察收集以下信息操作系统版本和架构计算机名和用户名网络配置信息IP地址、MAC地址、网关已安装的软件列表运行中的进程列表磁盘分区和可用空间这些信息会被加密后发送给C2服务器帮助攻击者评估目标的价值并制定下一步的攻击计划。2.3 持久化与窃密阶段一旦成功部署并初始化Deep#Door会建立多重持久化机制确保在系统重启后仍然能够运行。同时它会开始执行各种窃密和监控任务。2.3.1 多重持久化机制Deep#Door采用了四种不同的持久化机制形成了一个冗余的保障体系即使其中一种被清除其他几种仍然能够保证后门的运行启动文件夹将批处理脚本复制到用户的启动文件夹中%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\install_obf.bat注册表Run项在当前用户的注册表Run项下添加一个名为DeepDoor的条目指向批处理脚本HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DeepDoor %LOCALAPPDATA%\SystemServices\install_obf.bat计划任务创建一个名为SystemUpdate的隐藏计划任务设置为每天凌晨3点自动运行批处理脚本。WMI订阅可选创建一个WMI事件订阅当特定系统事件发生时如用户登录、系统启动自动执行后门。这是最隐蔽的一种持久化方式普通用户很难发现。2.3.2 C2通信机制Deep#Door最引人注目的特点之一是其使用了公共TCP隧道服务bore.pub进行C2通信。Bore是一个用Rust编写的开源TCP隧道工具它可以将本地端口暴露到公共互联网上无需公网IP地址。这种C2通信机制具有以下优势无需专用基础设施攻击者不需要购买和维护自己的C2服务器只需使用免费的公共隧道服务即可。流量伪装恶意流量被封装在正常的TCP连接中与合法的bore.pub流量混在一起难以被防火墙和入侵检测系统区分。动态端口后门在运行时会生成一个动态端口范围而不是使用固定的端口号这进一步增加了检测的难度。难以溯源由于所有流量都经过bore.pub转发攻击者的真实IP地址被隐藏增加了溯源的难度。2.3.3 窃密与监控功能Deep#Door具备全面的窃密和监控能力可以满足攻击者的各种需求凭证窃取读取Chrome、Edge、Firefox等浏览器的SQLite数据库提取保存的密码、Cookie和自动填充数据。从Windows凭据管理器中提取保存的网络密码和应用程序密码。扫描用户主目录下的.ssh文件夹提取SSH私钥和公钥。使用netsh wlan show profiles命令获取系统中保存的所有WiFi密码。扫描常见的云服务配置文件路径提取AWS、Azure、GCP的访问令牌和密钥。监控功能键盘记录记录用户的所有键盘输入包括密码和敏感信息。剪贴板监控实时监控剪贴板内容捕获复制的文本、图片和文件。屏幕截图定期截取整个屏幕或活动窗口的截图。摄像头访问在用户不知情的情况下开启摄像头拍照。麦克风录音开启麦克风录制环境音频。远程控制功能反向Shell提供一个交互式的命令行Shell允许攻击者执行任意系统命令。文件管理上传、下载、删除和修改文件。进程管理查看、启动和终止进程。系统操作重启、关机、注销系统。三、核心技术亮点为何Deep#Door难以检测Deep#Door代表了当前脚本化无文件攻击的最高水平其设计理念和技术实现有许多值得关注的亮点。正是这些技术特点使得Deep#Door能够有效规避大多数传统安全软件的检测。3.1 自包含架构无外部依赖与大多数现代恶意软件不同Deep#Door采用了完全自包含的架构。整个Python后门被直接嵌入在批处理加载器中不需要从外部服务器下载任何额外的载荷。这一设计带来了以下几个显著的优势减少网络指标攻击过程中几乎没有异常的网络流量传统基于网络流量的检测方法难以发现。降低单点故障风险不依赖外部C2服务器进行初始载荷分发即使C2服务器被关闭攻击仍然能够成功执行。简化攻击链攻击链被压缩到一个单一的批处理文件中减少了被安全设备拦截的环节。3.2 原生工具滥用LOLBins策略Deep#Door严格遵循了就地取材Living off the Land的攻击原则只使用Windows系统自带的合法工具来执行恶意操作。它主要依赖以下几个系统工具cmd.exe执行批处理脚本powershell.exe进行字符串处理和正则表达式匹配python.exe执行Python后门reg.exe修改注册表wevtutil.exe清除系统日志schtasks.exe创建计划任务这些工具都是Windows系统的标准组件通常被安全软件列入白名单。当攻击者利用这些合法工具执行恶意操作时其活动会与正常的系统管理操作无缝融合若不进行复杂的行为分析几乎无法检测。3.3 多层混淆静态分析的噩梦Deep#Door采用了批处理Python双重混淆的策略使得静态分析变得极为困难。批处理加载器经过了变量名随机化、命令拆分、字符串加密等多层混淆处理而Python后门则使用了Base64和XOR加密关键字符串并采用了代码混淆技术。即使安全研究人员能够获取到恶意样本也需要花费大量的时间和精力来逆向分析其代码。这为攻击者争取了宝贵的时间窗口使得他们能够在安全软件更新特征码之前完成攻击。3.4 公共隧道C2流量隐身术使用公共TCP隧道服务bore.pub进行C2通信是Deep#Door最具创新性的设计之一。传统的C2通信通常使用攻击者自己控制的服务器这些服务器的IP地址和域名很容易被安全厂商列入黑名单。而使用公共隧道服务后恶意流量被伪装成正常的合法流量难以被区分。此外bore.pub支持动态端口转发攻击者可以随时更改端口号进一步增加了检测的难度。目前已经有多个恶意软件家族开始滥用bore.pub等公共隧道服务进行C2通信这已经成为2026年网络攻击的一个重要趋势。3.5 全面防御绕过从禁用杀毒到清除日志Deep#Door在攻击的每一个环节都考虑到了如何绕过安全软件的检测。它不仅会在执行之初就禁用Windows Defender的实时保护和反间谍功能还会在内存中修补AMSIE和ETW功能阻止安全软件对其行为进行监控。同时Deep#Door还会清除系统事件日志删除自己留下的临时文件尽可能地消除攻击痕迹。这使得事后的取证工作变得非常困难安全人员很难重建完整的攻击链。四、威胁情报与攻击案例4.1 当前活动情况根据Securonix的研究报告截至2026年5月初Deep#Door的活动范围仍然有限主要用于针对性攻击而非大规模传播。研究人员观察到的样本数量较少且没有发现任何大规模的攻击活动。然而这并不意味着Deep#Door的威胁可以被忽视。由于其模块化设计和强大的功能Deep#Door很可能会被其他威胁组织所采用和改造。历史经验表明一旦一个有效的攻击框架被公开披露它很快就会在地下黑客社区中传播开来并被用于各种恶意活动。4.2 潜在受害者画像虽然目前Deep#Door没有针对特定行业或地区进行系统性攻击但根据其功能特点以下几类用户和组织面临较高的风险软件开发人员开发人员通常会在自己的电脑上安装Python解释器这是Deep#Door运行的必要条件。此外开发人员的电脑上通常保存有大量的敏感信息如源代码、API密钥、数据库密码等这些都是攻击者觊觎的目标。云服务管理员云服务管理员的电脑上通常保存有云平台的访问令牌和密钥这些凭证一旦被窃取攻击者就可以访问整个云基础设施造成灾难性的后果。远程办公人员远程办公人员的电脑通常连接到企业内部网络一旦被入侵攻击者可以以此为跳板横向移动到企业内部的其他系统。中小企业中小企业通常缺乏专业的安全团队和完善的安全防护措施更容易成为攻击者的目标。4.3 关联威胁与演变趋势Deep#Door并不是第一个使用批处理加载器和Python后门的恶意软件但它将这两种技术结合得非常完美。在Deep#Door之前已经有多个恶意软件家族采用了类似的架构如PyStoreRAT、XWorm等。未来我们预计会看到更多类似的恶意软件出现它们将具有以下特点更加隐蔽的无文件技术攻击者将进一步完善无文件攻击技术实现真正的零落地攻击即所有恶意代码都在内存中执行不向磁盘写入任何文件。更多合法服务的滥用除了bore.pub之外攻击者还会滥用更多的合法公共服务进行C2通信如GitHub Gist、Pastebin、Discord、Telegram等。AI驱动的混淆与免杀随着人工智能技术的发展攻击者将使用AI来生成更加复杂和难以检测的混淆代码实现自动化的免杀。跨平台支持目前Deep#Door只针对Windows系统但未来的恶意软件很可能会支持多个平台如macOS和Linux以扩大攻击范围。五、威胁狩猎与检测方法由于Deep#Door采用了多种先进的规避技术传统基于特征码的检测方法效果有限。要有效检测Deep#Door需要采用基于行为的检测方法和威胁狩猎技术。5.1 IOC指标以下是目前已知的Deep#Door的IOC指标可以用于初步的检测和排查文件名与路径install_obf.batfinallyJob.batsvc.pyc.py%LOCALAPPDATA%\SystemServices\注册表项HKLM\SOFTWARE\Policies\Microsoft\Windows\Defender\DisableAntiSpyware 1HKLM\SOFTWARE\Policies\Microsoft\Windows\Defender\DisableRealtimeMonitoring 1HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DeepDoor计划任务任务名称SystemUpdate操作运行%LOCALAPPDATA%\SystemServices\install_obf.bat网络指标域名bore.pubIP地址159.223.171.199美国/北伯根5.2 EDR检测规则以下是一些可以用于EDR端点检测与响应系统的检测规则用于检测Deep#Door的可疑行为规则1批处理脚本禁用Windows Defender检测条件 - 进程名cmd.exe - 命令行包含reg add AND DisableAntiSpyware AND 1 /f规则2批处理脚本清除系统日志检测条件 - 进程名cmd.exe - 命令行包含wevtutil cl AND (System OR Security OR Application)规则3Python进程异常网络连接检测条件 - 进程名python.exe - 网络连接目标bore.pub 或 159.223.171.199规则4创建可疑计划任务检测条件 - 进程名schtasks.exe - 命令行包含SystemUpdate AND install_obf.bat规则5修改注册表Run项检测条件 - 进程名reg.exe - 命令行包含HKCU\Software\Microsoft\Windows\CurrentVersion\Run AND DeepDoor5.3 威胁狩猎技巧除了使用EDR检测规则外安全人员还可以采用以下威胁狩猎技巧来发现Deep#Door的踪迹检查启动项定期检查系统的启动文件夹、注册表Run项和计划任务查找可疑的条目。监控Python进程密切监控系统中python.exe进程的活动特别是那些没有命令行参数或连接到未知网络地址的python.exe进程。检查系统日志虽然Deep#Door会清除系统日志但它可能无法完全清除所有日志。安全人员可以检查日志清除事件本身这通常是恶意活动的一个重要指标。扫描可疑文件定期扫描系统中的批处理文件和Python文件特别是那些位于临时目录和用户主目录下的文件。网络流量分析分析网络流量查找与bore.pub等公共隧道服务的异常连接。六、防护与清除指南6.1 防护策略要有效防护Deep#Door及类似的脚本化无文件攻击需要采用分层防御的策略从多个层面构建安全防线。6.1.1 终端防护保持系统和软件更新及时安装Windows系统和应用程序的安全补丁修复已知的漏洞。启用Windows Defender确保Windows Defender的实时保护和反间谍功能处于启用状态。不要随意禁用安全软件。限制脚本执行权限通过组策略限制.bat、.cmd、.ps1、.py等脚本文件的执行权限只允许受信任的脚本运行。启用应用程序控制使用Windows AppLocker或第三方应用程序控制软件只允许经过授权的应用程序运行。部署EDR系统部署先进的EDR系统实现对端点行为的实时监控和分析。6.1.2 网络防护部署防火墙和入侵检测系统在网络边界部署防火墙和入侵检测系统监控和阻止可疑的网络流量。过滤公共隧道服务在防火墙上阻止对bore.pub等已知被滥用的公共隧道服务的访问。启用DNS过滤使用DNS过滤服务阻止对恶意域名的解析。加密网络流量使用VPN等技术加密网络流量防止敏感数据在传输过程中被窃取。6.1.3 人员培训安全意识培训定期对员工进行安全意识培训教育他们不要随意打开来源不明的邮件附件和链接。钓鱼邮件识别培训专门培训员工如何识别钓鱼邮件提高他们的警惕性。安全最佳实践培训教育员工遵循安全最佳实践如使用强密码、定期更换密码、不共享账户等。6.2 应急响应与清除步骤如果怀疑系统已经感染了Deep#Door应立即采取以下应急响应和清除步骤隔离受感染系统立即将受感染系统从网络中断开防止攻击者进一步横向移动和数据外泄。终止恶意进程打开任务管理器结束所有可疑的python.exe和cmd.exe进程。删除恶意文件删除以下文件和目录%LOCALAPPDATA%\SystemServices\目录及其所有内容启动文件夹中的install_obf.bat文件清理启动项删除注册表Run项中的DeepDoor条目删除名为SystemUpdate的计划任务检查并删除WMI订阅中的可疑条目恢复安全设置重新启用Windows Defender的实时保护和反间谍功能恢复系统日志记录功能重置代理设置全面扫描系统使用最新的杀毒软件对系统进行全面扫描确保没有残留的恶意软件。修改所有凭证这是最重要的一步。由于Deep#Door会窃取各种凭证因此必须立即修改所有密码包括Windows系统密码浏览器保存的所有网站密码云服务账户密码SSH密钥和VPN密码WiFi密码重建系统必要时如果感染严重无法彻底清除恶意软件建议重新安装操作系统以确保系统的安全性。七、前瞻性分析未来攻击趋势与防御者的挑战Deep#Door的出现标志着脚本化无文件攻击进入了一个新的阶段。在未来几年我们预计会看到以下几个重要的攻击趋势7.1 无文件攻击将成为主流随着安全软件检测能力的不断提高传统基于文件的攻击将越来越难以奏效。无文件攻击由于其高隐蔽性和难以检测的特点将成为攻击者的首选。未来的无文件攻击将更加完善实现真正的零落地攻击即所有恶意代码都在内存中执行不向磁盘写入任何文件。7.2 合法服务滥用将愈演愈烈攻击者将越来越多地滥用合法的公共服务进行攻击包括公共隧道服务如bore.pub、ngrok代码托管平台如GitHub、GitLab即时通讯工具如Discord、Telegram云存储服务如Dropbox、OneDrive内容分发网络CDN这些服务通常具有良好的信誉很难被安全厂商完全阻止。攻击者可以利用这些服务进行C2通信、载荷分发和数据外泄大大降低了攻击的成本和风险。7.3 AI将改变攻防格局人工智能技术的发展将对网络安全攻防格局产生深远的影响。一方面攻击者将使用AI来生成更加复杂和难以检测的恶意代码实现自动化的漏洞挖掘、免杀和社会工程攻击。另一方面防御者也将使用AI来提高威胁检测和响应的效率实现自动化的威胁狩猎和应急响应。7.4 跨平台攻击将成为常态随着云计算和移动互联网的发展企业的IT环境变得越来越复杂涉及Windows、macOS、Linux、iOS、Android等多个平台。未来的恶意软件将越来越多地支持跨平台运行以扩大攻击范围。攻击者将寻找跨平台的通用漏洞和攻击方法实现一次编写到处运行。7.5 防御者的挑战与应对面对这些新的攻击趋势防御者面临着巨大的挑战。传统基于特征码的检测方法已经无法应对现代的高级威胁。防御者需要转变思路采用基于行为的检测方法和威胁狩猎技术加强对端点行为的监控和分析。同时防御者还需要加强安全意识培训提高员工的安全防范意识。毕竟人是安全链条中最薄弱的环节。只有技术和人员相结合才能构建起有效的安全防线。八、总结Deep#Door是2026年出现的一个极具威胁性的Python后门框架它采用了混淆批处理加载器内嵌Python RAT的独特架构实现了近乎无文件的攻击效果。该恶意软件具备强大的免杀、持久化与全链路窃密能力能够有效规避大多数传统安全软件的检测。Deep#Door的出现代表了脚本化无文件攻击的最新发展趋势。它充分利用了Windows系统自带的合法工具和公共服务将恶意活动伪装成正常的系统行为大大增加了检测和防御的难度。要有效防护Deep#Door及类似的威胁企业和个人用户需要采用分层防御的策略从终端、网络和人员三个层面构建安全防线。同时还需要加强威胁狩猎和应急响应能力及时发现和处理安全事件。未来随着人工智能技术的发展和合法服务滥用的加剧网络安全攻防将进入一个更加复杂和激烈的阶段。防御者需要不断学习和适应新的攻击技术更新自己的安全防护体系才能在这场永无止境的安全战争中立于不败之地。