SeroXen RAT - en filløs ny trussel
Sikkerhedsanalytikere overvåger i øjeblikket en ny filløs fjernadgangstrojan (RAT) kaldet SeroXen, designet til at overliste adskillige EDR-systemer. SeroXen er faktisk en modificeret version af et legitimt fjernadministrationsværktøj kendt som Quasar, som har været brugt i flere år, men som også er blevet misbrugt af visse APT-grupper tidligere. Den har cirkuleret i et par måneder og kan købes på forskellige platforme, herunder sociale medier og hackingfora, for et månedligt gebyr på $30.
Eksperter fra AT&T Alien Labs har flittigt studeret og vurderet SeroXen RAT og opdaget, at den i øjeblikket formår at undgå opdagelse af al antimalware-software på Virus Total. Dette skyldes primært dens evne til at forblive uopdagelig, når den analyseres statisk. RAT'en er skjult i en sløret PowerShell-batchfil, der typisk varierer i størrelse fra 12-14 megabyte. Den store filstørrelse afholder ofte visse antivirusprogrammer fra at udføre en grundig analyse, og derved omgå detektionsmekanismer.
Selvom den nævnte specifikke prøve ikke har udløst nogen detektioner på Virus Total, har nogle crowdsourcede Sigma-regler identificeret dens aktiviteter som mistænkelige. SeroXen udgør en større udfordring for antivirusløsninger, da det er en filløs malware, der udelukkende opererer i hukommelsen og anvender flere dekrypterings- og dekompressionsrutiner. Desuden indlæser dets rootkit en ny kopi af ntdll.dll, hvilket gør det endnu sværere for Endpoint Detection & Response (EDR)-systemer, som er afhængige af at tilslutte sig dette bibliotek for at detektere procesinjektioner, for at identificere tilstedeværelsen af RAT.
SeroXen distributionsmetoder og muligheder
Typisk distribuerer angribere SeroXen RAT gennem phishing-e-mails eller Discord-kanaler. Malwaren starter download af en tilsyneladende harmløs ZIP-fil sammen med en skjult batch-fil, der udføres automatisk. Efter en række mellemliggende trin består den endelige nyttelast af to .NET-arrays, hvoraf det ene fungerer som et rootkit og besidder forskellige egenskaber, såsom filløs vedholdenhed, procesindsprøjtning i hukommelsen, EDR-unddragelse og funktionshooking.
Da SeroXen er baseret på QuasarRAT, anvender kommando- og kontrolserveren (C&C), der anvendes af trusselsaktører, det samme fællesnavn i deres TLS-certifikat. Funktionaliteterne, der tilbydes af C&C-serveren, minder meget om dem, der findes i Quasar Github-lageret, herunder understøttelse af TCP-netværksstrømme (både IPv4 og IPv6), effektiv netværksserialisering, komprimering ved hjælp af QuickLZ og sikker kommunikation gennem TLS-kryptering, som anført af forskerne .
