SeroXen RAT - en filløs ny trussel
Sikkerhetsanalytikere overvåker for tiden en ny filløs fjerntilgangstrojaner (RAT) kalt SeroXen, designet for å overliste en rekke EDR-systemer. SeroXen er faktisk en modifisert versjon av et legitimt fjernadministrasjonsverktøy kjent som Quasar, som har blitt brukt i flere år, men som også har blitt misbrukt av visse APT-grupper tidligere. Den har sirkulert i noen måneder og er tilgjengelig for kjøp på ulike plattformer, inkludert sosiale medier og hackingfora, for en månedlig avgift på $30.
Eksperter fra AT&T Alien Labs har flittig studert og vurdert SeroXen RAT, og oppdaget at den for øyeblikket klarer å unngå oppdagelse av all antimalware-programvare på Virus Total. Dette er først og fremst på grunn av dens evne til å forbli uoppdagelig når den analyseres statisk. RAT-en er skjult i en tilslørt PowerShell-batchfil, som vanligvis varierer i størrelse fra 12-14 megabyte. Den store filstørrelsen avskrekker ofte visse antivirusprogrammer fra å utføre en grundig analyse, og dermed omgå deteksjonsmekanismer.
Selv om den spesifikke prøven som er nevnt ikke har utløst noen deteksjoner på Virus Total, har noen crowdsourcede Sigma-regler identifisert aktiviteten som mistenkelig. SeroXen utgjør en større utfordring for antivirusløsninger siden det er en filløs skadelig programvare som kun opererer i minnet, og bruker flere dekryptering og dekompresjonsrutiner. Dessuten laster rootsettet en ny kopi av ntdll.dll, noe som gjør det enda vanskeligere for Endpoint Detection & Response (EDR)-systemer, som er avhengige av å koble seg til dette biblioteket for å oppdage prosessinjeksjoner, for å identifisere tilstedeværelsen av RAT.
SeroXen-distribusjonsmetoder og -funksjoner
Vanligvis distribuerer angripere SeroXen RAT gjennom phishing-e-post eller Discord-kanaler. Skadevaren starter nedlastingen av en tilsynelatende harmløs ZIP-fil, sammen med en skjult batch-fil som kjøres automatisk. Etter en rekke mellomtrinn, består den endelige nyttelasten av to .NET-matriser, hvorav den ene fungerer som et rootkit og har ulike funksjoner, som filløs utholdenhet, prosessinjeksjon i minnet, EDR-unnvikelse og funksjonskobling.
Siden SeroXen er basert på QuasarRAT, bruker kommando- og kontrollserveren (C&C) som brukes av trusselaktører det samme Common Name i deres TLS-sertifikat. Funksjonene som tilbys av C&C-serveren ligner mye på de som finnes i Quasar Github-depotet, inkludert støtte for TCP-nettverksstrømmer (både IPv4 og IPv6), effektiv nettverksserialisering, komprimering ved bruk av QuickLZ og sikker kommunikasjon gjennom TLS-kryptering, som uttalt av forskerne .