SeroXen RAT——一種無文件的新威脅

安全分析師目前正在監視一種名為 SeroXen 的新興無文件遠程訪問木馬 (RAT)，該木馬旨在智取眾多 EDR 系統。 SeroXen 實際上是一種名為 Quasar 的合法遠程管理工具的修改版本，該工具已使用多年，但過去也曾被某些 APT 組織濫用。它已經流傳了幾個月，可以在各種平台上購買，包括社交媒體和黑客論壇，每月收費 30 美元。

AT&T Alien Labs 的專家一直在認真研究和評估 SeroXen RAT，發現它目前設法逃避了 Virus Total 上所有反惡意軟件的檢測。這主要是因為它在靜態分析時能夠保持檢測不到。 RAT 隱藏在經過混淆處理的 PowerShell 批處理文件中，通常大小在 12-14 兆字節之間。大文件通常會阻止某些防病毒程序進行徹底的分析，從而繞過檢測機制。

雖然提到的特定樣本沒有觸發 Virus Total 的任何檢測，但一些眾包 Sigma Rules 已將其活動確定為可疑。 SeroXen 對防病毒解決方案提出了更大的挑戰，因為它是一種僅在內存中運行的無文件惡意軟件，採用多個解密和解壓縮例程。此外，它的 rootkit 加載了 ntdll.dll 的新副本，這使得端點檢測和響應 (EDR) 系統更加難以識別 RAT 的存在，該系統依賴於連接到該庫來檢測進程注入。

SeroXen 分發方法和能力

通常，攻擊者通過網絡釣魚電子郵件或 Discord 渠道分發 SeroXen RAT。該惡意軟件開始下載一個看似無害的 ZIP 文件，以及一個自動執行的隱藏批處理文件。經過一系列中間步驟後，最終的 payload 由兩個 .NET 數組組成，其中一個用作 rootkit 並具有各種功能，例如無文件持久性、內存進程注入、EDR 規避和函數掛鉤。

由於 SeroXen 基於 QuasarRAT，威脅參與者使用的命令和控制 (C&C) 服務器在其 TLS 證書中使用相同的通用名稱。 C&C 服務器提供的功能與 Quasar Github 存儲庫中的功能非常相似，包括對 TCP 網絡流（IPv4 和 IPv6）的支持、高效的網絡序列化、利用 QuickLZ 的壓縮以及通過 TLS 加密的安全通信，如研究人員所述.