SeroXen RAT - ファイルレスの新たな脅威
セキュリティ アナリストは現在、多数の EDR システムを出し抜くように設計された SeroXen と呼ばれる新たなファイルレス リモート アクセス トロイの木馬 (RAT) を監視しています。 SeroXen は実際には、Quasar として知られる正規のリモート管理ツールの修正バージョンであり、数年間利用されてきましたが、過去には特定の APT グループによって悪用されたこともあります。数カ月前から流通しており、ソーシャルメディアやハッキングフォーラムなどさまざまなプラットフォームで月額30ドルで購入できる。
AT&T Alien Labs の専門家は、SeroXen RAT を熱心に研究および評価しており、現在、Virus Total 上のすべてのマルウェア対策ソフトウェアによる検出を回避していることを発見しました。これは主に、静的に分析した場合に検出不可能なままであるためです。 RAT は、通常 12 ~ 14 メガバイトのサイズの難読化された PowerShell バッチ ファイル内に隠蔽されます。ファイル サイズが大きいと、特定のウイルス対策プログラムが徹底的な分析を実行できなくなり、その結果、検出メカニズムがバイパスされることがよくあります。
言及された特定のサンプルは Virus Total での検出を引き起こしませんでしたが、一部のクラウドソーシング Sigma Rules はその活動が不審であると特定しました。 SeroXen はメモリ内でのみ動作し、複数の復号化および解凍ルーチンを使用するファイルレス マルウェアであるため、ウイルス対策ソリューションにとって大きな課題となります。さらに、そのルートキットは ntdll.dll の新しいコピーをロードするため、このライブラリへのフックに依存してプロセス インジェクションを検出するエンドポイント検出 & 応答 (EDR) システムが RAT の存在を特定することがさらに困難になります。
SeroXen の配布方法と機能
通常、攻撃者はフィッシングメールまたは Discord チャネルを通じて SeroXen RAT を配布します。このマルウェアは、一見無害な ZIP ファイルと、自動的に実行される隠しバッチ ファイルのダウンロードを開始します。一連の中間ステップを経て、最終的なペイロードは 2 つの .NET 配列で構成されます。そのうちの 1 つはルートキットとして機能し、ファイルレス永続化、メモリ内プロセス インジェクション、EDR 回避、関数フックなどのさまざまな機能を備えています。
SeroXen は QuasarRAT に基づいているため、脅威アクターが使用するコマンド アンド コントロール (C&C) サーバーは、TLS 証明書で同じ共通名を使用します。研究者らが述べたように、C&C サーバーが提供する機能は、TCP ネットワーク ストリーム (IPv4 と IPv6 の両方) のサポート、効率的なネットワーク シリアル化、QuickLZ を利用した圧縮、TLS 暗号化による安全な通信など、Quasar Github リポジトリで見つかった機能とよく似ています。 。