SeroXen RAT — nowe zagrożenie bez plików

Analitycy bezpieczeństwa monitorują obecnie pojawiającego się bezplikowego trojana zdalnego dostępu (RAT) o nazwie SeroXen, zaprojektowanego w celu przechytrzenia wielu systemów EDR. SeroXen jest w rzeczywistości zmodyfikowaną wersją legalnego narzędzia do zdalnej administracji znanego jako Quasar, które było wykorzystywane przez kilka lat, ale w przeszłości było również nadużywane przez niektóre grupy APT. Krąży od kilku miesięcy i można go kupić na różnych platformach, w tym w mediach społecznościowych i na forach hakerskich, za miesięczną opłatą w wysokości 30 USD.

Eksperci z AT&T Alien Labs pilnie badali i oceniali SeroXen RAT, odkrywając, że obecnie udaje mu się uniknąć wykrycia przez wszystkie programy antymalware w Virus Total. Wynika to przede wszystkim z jego zdolności do pozostawania niewykrywalnym podczas analizy statycznej. RAT jest ukryty w zaciemnionym pliku wsadowym PowerShell, zwykle o rozmiarze od 12 do 14 megabajtów. Duży rozmiar pliku często powstrzymuje niektóre programy antywirusowe przed przeprowadzeniem dokładnej analizy, a tym samym obejściem mechanizmów wykrywania.

Chociaż wspomniana konkretna próbka nie spowodowała żadnego wykrycia w Virus Total, niektóre zasady Sigma, pochodzące z crowdsourcingu, uznały jej działania za podejrzane. SeroXen stanowi większe wyzwanie dla rozwiązań antywirusowych, ponieważ jest to złośliwe oprogramowanie bez plików, które działa wyłącznie w pamięci i wykorzystuje wiele procedur deszyfrowania i dekompresji. Co więcej, jego rootkit ładuje świeżą kopię pliku ntdll.dll, co jeszcze bardziej utrudnia systemom Endpoint Detection & Response (EDR), które polegają na podłączeniu się do tej biblioteki w celu wykrywania wstrzyknięć procesów, identyfikowanie obecności RAT.

Metody i możliwości dystrybucji SeroXen

Zazwyczaj atakujący dystrybuują SeroXen RAT za pośrednictwem e-maili phishingowych lub kanałów Discord. Szkodliwe oprogramowanie inicjuje pobieranie pozornie nieszkodliwego pliku ZIP wraz z ukrytym plikiem wsadowym, który uruchamia się automatycznie. Po serii etapów pośrednich końcowy ładunek składa się z dwóch macierzy .NET, z których jedna działa jako rootkit i posiada różne możliwości, takie jak trwałość bez plików, wstrzykiwanie procesów do pamięci, unikanie EDR i przechwytywanie funkcji.

Ponieważ SeroXen jest oparty na QuasarRAT, serwer dowodzenia i kontroli (C&C) wykorzystywany przez cyberprzestępców wykorzystuje tę samą nazwę pospolitą w swoim certyfikacie TLS. Funkcjonalności oferowane przez serwer C&C bardzo przypominają te, które można znaleźć w repozytorium Quasar Github, w tym obsługę strumieni sieciowych TCP (zarówno IPv4, jak i IPv6), wydajną serializację sieci, kompresję z wykorzystaniem QuickLZ oraz bezpieczną komunikację poprzez szyfrowanie TLS, jak stwierdzili badacze .