SeroXen RAT – fájl nélküli új fenyegetés
Biztonsági elemzők jelenleg egy feltörekvő, fájl nélküli távoli hozzáférésű trójai (RAT) nevű SeroXen-t figyelnek, amelyet számos EDR-rendszer túljárására terveztek. A SeroXen tulajdonképpen a Quasar néven ismert legitim távoli adminisztrációs eszköz módosított változata, amelyet évek óta használnak, de a múltban bizonyos APT csoportok visszaéltek vele. Néhány hónapja kering, és havi 30 dolláros díj ellenében megvásárolható különféle platformokon, beleértve a közösségi médiát és a hacker fórumokat.
Az AT&T Alien Labs szakértői szorgalmasan tanulmányozták és értékelték a SeroXen RAT-ot, és rájöttek, hogy jelenleg sikerül elkerülnie a Virus Total összes kártevőirtó szoftverének észlelését. Ez elsősorban annak a képességének köszönhető, hogy statikus elemzéskor észlelhetetlen marad. A RAT egy elhomályosított PowerShell kötegfájlban van elrejtve, amely általában 12-14 megabájt méretű. A nagy fájlméret gyakran visszatart bizonyos vírusirtó programokat az alapos elemzéstől, következésképpen megkerülve az észlelési mechanizmusokat.
Bár az említett konkrét minta nem váltott ki semmilyen észlelést a Virus Total-on, egyes közösségi forrásokból származó Sigma-szabályok gyanúsnak minősítették a tevékenységét. A SeroXen nagyobb kihívást jelent a víruskereső megoldások számára, mivel egy fájl nélküli rosszindulatú program, amely kizárólag a memóriában működik, és több visszafejtési és kitömörítési rutint alkalmaz. Ezenkívül a rootkit betölti az ntdll.dll egy friss példányát, ami még megnehezíti a RAT jelenlétének azonosítását az Endpoint Detection & Response (EDR) rendszerek számára, amelyek ehhez a könyvtárhoz kapcsolódnak a folyamatinjektálások észleléséhez.
A SeroXen elosztási módszerei és képességei
A támadók általában adathalász e-maileken vagy Discord-csatornákon keresztül terjesztik a SeroXen RAT-ot. A rosszindulatú program egy ártalmatlannak tűnő ZIP-fájl letöltését kezdeményezi, egy rejtett kötegfájllal együtt, amely automatikusan végrehajtódik. Egy sor közbenső lépést követően a végső hasznos adat két .NET tömbből áll, amelyek közül az egyik rootkitként működik, és különféle képességekkel rendelkezik, mint például a fájl nélküli perzisztencia, a memórián belüli folyamatinjektálás, az EDR-kijátszás és a funkcióbeakadás.
Mivel a SeroXen a QuasarRAT-on alapul, a fenyegetés szereplői által használt parancs- és vezérlési (C&C) szerver ugyanazt a közös nevet használja a TLS-tanúsítványukban. A C&C szerver által kínált funkciók nagyon hasonlítanak a Quasar Github adattárban található funkciókhoz, beleértve a TCP hálózati folyamok támogatását (IPv4 és IPv6 egyaránt), a hatékony hálózati szerializálást, a QuickLZ-t használó tömörítést és a TLS titkosításon keresztüli biztonságos kommunikációt, ahogy azt a kutatók állítják. .