SeroXen RAT – nauja grėsmė be failų

Saugumo analitikai šiuo metu stebi besikuriantį be failų nuotolinės prieigos Trojos arklį (RAT), vadinamą SeroXen, skirtą pergudrauti daugybę EDR sistemų. SeroXen iš tikrųjų yra modifikuota teisėto nuotolinio administravimo įrankio, žinomo kaip Quasar, versija, kuri buvo naudojama kelerius metus, tačiau praeityje ją taip pat netinkamai naudojo tam tikros APT grupės. Jis cirkuliuoja keletą mėnesių ir už 30 USD mėnesinį mokestį galima įsigyti įvairiose platformose, įskaitant socialinę žiniasklaidą ir įsilaužimo forumus.

„AT&T Alien Labs“ ekspertai kruopščiai tyrinėjo ir įvertino „SeroXen RAT“ ir išsiaiškino, kad šiuo metu jai pavyksta išvengti aptikimo visa antimalware programine įranga „Virus Total“. Taip yra visų pirma dėl to, kad jis gali likti neaptinkamas, kai analizuojamas statiškai. RAT yra paslėptas užmaskuotame paketiniame „PowerShell“ faile, kurio dydis paprastai yra 12–14 megabaitų. Didelis failo dydis dažnai atgraso tam tikras antivirusines programas nuo nuodugnios analizės, taigi apeinant aptikimo mechanizmus.

Nors minėtas konkretus pavyzdys nesukėlė jokių aptikimų „Virus Total“, kai kurios „Sigma“ taisyklės nustatė, kad jos veikla yra įtartina. SeroXen kelia didesnį iššūkį antivirusiniams sprendimams, nes tai kenkėjiška programa be failų, veikianti tik atmintyje ir naudojanti kelias iššifravimo ir išskleidimo procedūras. Be to, jo rootkit įkelia naują ntdll.dll kopiją, todėl Endpoint Detection & Response (EDR) sistemoms, kurios priklauso nuo prisijungimo prie šios bibliotekos, kad aptiktų proceso injekcijas, būtų dar sunkiau nustatyti RAT buvimą.

SeroXen platinimo metodai ir galimybės

Paprastai užpuolikai platina SeroXen RAT per sukčiavimo el. laiškus arba Discord kanalus. Kenkėjiška programa inicijuoja iš pažiūros nekenksmingo ZIP failo atsisiuntimą kartu su paslėptu paketiniu failu, kuris automatiškai vykdomas. Atlikus keletą tarpinių veiksmų, galutinę naudingąją apkrovą sudaro du .NET masyvai, iš kurių vienas veikia kaip rootkit ir turi įvairias galimybes, pvz., patvarumą be failų, proceso įterpimą į atmintį, EDR vengimą ir funkcijų prijungimą.

Kadangi „SeroXen“ yra pagrįsta QuasarRAT, grėsmės veikėjų naudojamas komandų ir valdymo (C&C) serveris savo TLS sertifikate naudoja tą patį bendrąjį pavadinimą. C&C serverio siūlomos funkcijos yra labai panašios į tas, kurios yra Quasar Github saugykloje, įskaitant TCP tinklo srautų palaikymą (tiek IPv4, tiek IPv6), efektyvų tinklo serializavimą, glaudinimą naudojant QuickLZ ir saugų ryšį naudojant TLS šifravimą, kaip teigia tyrėjai. .