SeroXen RAT——一种无文件的新威胁

安全分析师目前正在监视一种名为 SeroXen 的新兴无文件远程访问木马 (RAT)，该木马旨在智取众多 EDR 系统。 SeroXen 实际上是一种名为 Quasar 的合法远程管理工具的修改版本，该工具已使用多年，但过去也曾被某些 APT 组织滥用。它已经流传了几个月，可以在各种平台上购买，包括社交媒体和黑客论坛，每月收费 30 美元。

AT&T Alien Labs 的专家一直在认真研究和评估 SeroXen RAT，发现它目前设法逃避了 Virus Total 上所有反恶意软件的检测。这主要是因为它在静态分析时能够保持检测不到。 RAT 隐藏在经过混淆处理的 PowerShell 批处理文件中，通常大小在 12-14 兆字节之间。大文件通常会阻止某些防病毒程序进行彻底的分析，从而绕过检测机制。

虽然提到的特定样本没有触发 Virus Total 的任何检测，但一些众包 Sigma Rules 已将其活动确定为可疑。 SeroXen 对防病毒解决方案提出了更大的挑战，因为它是一种仅在内存中运行的无文件恶意软件，采用多个解密和解压缩例程。此外，它的 rootkit 加载了 ntdll.dll 的新副本，这使得端点检测和响应 (EDR) 系统更加难以识别 RAT 的存在，该系统依赖于连接到该库来检测进程注入。

SeroXen 分发方法和能力

通常，攻击者通过网络钓鱼电子邮件或 Discord 渠道分发 SeroXen RAT。该恶意软件开始下载一个看似无害的 ZIP 文件，以及一个自动执行的隐藏批处理文件。经过一系列中间步骤后，最终的 payload 由两个 .NET 数组组成，其中一个用作 rootkit 并具有各种功能，例如无文件持久性、内存进程注入、EDR 规避和函数挂钩。

由于 SeroXen 基于 QuasarRAT，威胁参与者使用的命令和控制 (C&C) 服务器在其 TLS 证书中使用相同的通用名称。 C&C 服务器提供的功能与 Quasar Github 存储库中的功能非常相似，包括对 TCP 网络流（IPv4 和 IPv6）的支持、高效的网络序列化、利用 QuickLZ 的压缩以及通过 TLS 加密的安全通信，如研究人员所述.