SeroXen RAT——一种无文件的新威胁
安全分析师目前正在监视一种名为 SeroXen 的新兴无文件远程访问木马 (RAT),该木马旨在智取众多 EDR 系统。 SeroXen 实际上是一种名为 Quasar 的合法远程管理工具的修改版本,该工具已使用多年,但过去也曾被某些 APT 组织滥用。它已经流传了几个月,可以在各种平台上购买,包括社交媒体和黑客论坛,每月收费 30 美元。
AT&T Alien Labs 的专家一直在认真研究和评估 SeroXen RAT,发现它目前设法逃避了 Virus Total 上所有反恶意软件的检测。这主要是因为它在静态分析时能够保持检测不到。 RAT 隐藏在经过混淆处理的 PowerShell 批处理文件中,通常大小在 12-14 兆字节之间。大文件通常会阻止某些防病毒程序进行彻底的分析,从而绕过检测机制。
虽然提到的特定样本没有触发 Virus Total 的任何检测,但一些众包 Sigma Rules 已将其活动确定为可疑。 SeroXen 对防病毒解决方案提出了更大的挑战,因为它是一种仅在内存中运行的无文件恶意软件,采用多个解密和解压缩例程。此外,它的 rootkit 加载了 ntdll.dll 的新副本,这使得端点检测和响应 (EDR) 系统更加难以识别 RAT 的存在,该系统依赖于连接到该库来检测进程注入。
SeroXen 分发方法和能力
通常,攻击者通过网络钓鱼电子邮件或 Discord 渠道分发 SeroXen RAT。该恶意软件开始下载一个看似无害的 ZIP 文件,以及一个自动执行的隐藏批处理文件。经过一系列中间步骤后,最终的 payload 由两个 .NET 数组组成,其中一个用作 rootkit 并具有各种功能,例如无文件持久性、内存进程注入、EDR 规避和函数挂钩。
由于 SeroXen 基于 QuasarRAT,威胁参与者使用的命令和控制 (C&C) 服务器在其 TLS 证书中使用相同的通用名称。 C&C 服务器提供的功能与 Quasar Github 存储库中的功能非常相似,包括对 TCP 网络流(IPv4 和 IPv6)的支持、高效的网络序列化、利用 QuickLZ 的压缩以及通过 TLS 加密的安全通信,如研究人员所述.