SeroXen RAT - een nieuwe bedreiging zonder bestanden

Beveiligingsanalisten volgen momenteel een opkomende fileless remote access trojan (RAT) genaamd SeroXen, ontworpen om talloze EDR-systemen te slim af te zijn. SeroXen is eigenlijk een aangepaste versie van een legitiem hulpmiddel voor beheer op afstand, bekend als Quasar, dat al enkele jaren wordt gebruikt, maar in het verleden ook is misbruikt door bepaalde APT-groepen. Het circuleert al een paar maanden en kan worden gekocht op verschillende platforms, waaronder sociale media en hackforums, voor een maandelijks bedrag van $ 30.

Deskundigen van AT&T Alien Labs hebben de SeroXen RAT ijverig bestudeerd en beoordeeld en ontdekten dat het momenteel de detectie door alle antimalwaresoftware op Virus Total weet te omzeilen. Dit komt voornamelijk door het vermogen om ondetecteerbaar te blijven wanneer het statisch wordt geanalyseerd. De RAT is verborgen in een versluierd PowerShell-batchbestand, meestal variërend in grootte van 12-14 megabytes. De grote bestandsgrootte weerhoudt bepaalde antivirusprogramma's er vaak van een grondige analyse uit te voeren, waardoor detectiemechanismen worden omzeild.

Hoewel het genoemde specifieke voorbeeld geen detecties op Virus Total heeft geactiveerd, hebben sommige gecrowdsourcete Sigma-regels zijn activiteiten als verdacht geïdentificeerd. SeroXen vormt een grotere uitdaging voor antivirusoplossingen, aangezien het een bestandsloze malware is die uitsluitend in het geheugen werkt en meerdere decoderings- en decompressieroutines gebruikt. Bovendien laadt de rootkit een nieuwe kopie van ntdll.dll, waardoor het nog moeilijker wordt voor Endpoint Detection & Response (EDR)-systemen, die afhankelijk zijn van inhaken op deze bibliotheek om procesinjecties te detecteren, om de aanwezigheid van de RAT te identificeren.

SeroXen-distributiemethoden en -mogelijkheden

Meestal verspreiden aanvallers de SeroXen RAT via phishing-e-mails of Discord-kanalen. De malware initieert de download van een ogenschijnlijk onschuldig ZIP-bestand, samen met een verborgen batchbestand dat automatisch wordt uitgevoerd. Na een reeks tussenstappen bestaat de uiteindelijke payload uit twee .NET-arrays, waarvan er één functioneert als een rootkit en verschillende mogelijkheden heeft, zoals bestandsloze persistentie, procesinjectie in het geheugen, EDR-ontduiking en functiehook.

Aangezien SeroXen is gebaseerd op QuasarRAT, gebruikt de commando- en controleserver (C&C) die wordt gebruikt door bedreigingsactoren dezelfde algemene naam in hun TLS-certificaat. De functionaliteiten die door de C&C-server worden aangeboden, lijken sterk op die in de Quasar Github-repository, inclusief ondersteuning voor TCP-netwerkstreams (zowel IPv4 als IPv6), efficiënte netwerkserialisatie, compressie met behulp van QuickLZ en veilige communicatie via TLS-codering, zoals gesteld door de onderzoekers .