文章总结： 文档揭示恶意软件dindoor利用合法deno运行时和恶意msi安装程序绕过安全防御，其感染链从使用双重扩展名伪装pdf演变为无文件执行技术，通过分析c2基础设施发现其使用jwt令牌编码活动元数据并共享多租户服务器，防御者可关注异常http标头进行威胁狩猎。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,应急响应,web安全

DinDoor 后门利用 Deno 和 MSI 安装程序绕过安全工具

ZM ZM

暗镜

2026年4月24日 06:00 北京

在小说阅读器读本章

去阅读

Node.js 和 Python 等运行时代码环境长期以来一直是试图融入正常网络流量的威胁行为者的目标。

如今，合法的Deno JavaScript 运行时库正被恶意利用。一种新近分析的恶意软件 DinDoor 利用 Deno 和恶意 MSI 安装程序来绕过传统的安全防御措施。

DinDoor 于 2026 年 3 月首次被 Broadcom 与伊朗 APT 组织 Seedworm（又名 MuddyWater）联系起来，它在 Tsundere Botnet 的庇护下运作。

攻击者不使用传统的编译二进制文件，而是使用这些受信任的、已签名的运行时来执行混淆的脚本。

由于 Deno 是一个合法的开发者工具，它的执行通常会绕过行为警报，这在监控严格针对 PowerShell 或 Python 的环境中，会给防御者造成危险的盲点。

分析感染链和规避策略

DinDoor 主要通过网络钓鱼或恶意下载传播，使用具有欺骗性的 MSI 安装程序文件。

这些安装程序会直接从 Deno 项目的合法端点静默下载 Deno 运行时，执行时无需任何管理权限。

研究人员最近分析了两个不同的 DinDoor 样本，揭示了该恶意软件的规避技术是如何演变的。

第一个样本名为 migcredit.pdf.msi，使用双重扩展名伪装成来自合法俄罗斯金融公司的 PDF 文档。

执行时，它会释放一个隐藏的 PowerShell 脚本，该脚本会安装 Deno 并将混淆的 JavaScript 写入本地磁盘，然后再运行它。

相比之下，第二个示例 Installer_v1.21.66.msi 展示了一种更复杂的无文件方法。

该变种程序与 WiX 工具集打包在一起，并使用与俄罗斯网络犯罪有关的可疑证书进行签名，它会显示虚假的 Windows 错误消息来欺骗用户，同时在后台静默启动一个隐藏的 PowerShell 进程。

揭开C2基础设施的面纱

根据 Hunt.io 的研究，对 DinDoor 网络通信的调查显示，其后端基础设施高度组织化且共享。

无文件安装程序示例将 JSON Web Token (JWT) 硬编码到其 C2 URL 路径中。解码此令牌会暴露关键的活动元数据，包括代理配置和主 C2 域 serialmenot[.]com。

该域名作为一个多租户基础设施运行，由多个国家支持的组织和网络犯罪分子共享。此前，它曾与 CastleLoader 恶意软件家族有关联。

通过分析这些 C2 服务器的 HTTP 响应，研究人员发现了一种一致的模式。

活动服务器返回了特定的标头，表明使用了 Caddy Web 服务器代理，特别是 Via: 1.1 Caddy 标头和唯一的 X-Request-Id。

调查人员利用针对这些 HTTP 标头异常和特定 404 错误内容长度的有针对性的威胁搜寻查询，成功地绘制了活动的基础设施图。

该技术发现了 20 个分布在多个自治系统中的活跃恶意服务器，其中包括几个已知的防弹托管提供商。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《DinDoor 后门利用 Deno 和 MSI 安装程序绕过安全工具》