SeroXen RAT

由于其强大的功能和逃避检测的能力，网络犯罪社区越来越多地采用名为“SeroXen”的隐蔽远程访问木马 (RAT)。

根据 AT&T 的报告，该恶意软件被欺骗性地作为 Windows 11 和 10 的合法远程访问工具进行营销。每月订阅费为 15 美元，或一次性“终身”许可费用为 60 美元。尽管作为合法工具出现，SeroXen 实际上在黑客论坛上被宣传为远程访问木马。这些促销活动背后的个人身份，无论他们是真正的开发商还是不道德的经销商，仍然不确定。

SeroXen RAT 在网络犯罪分子中越来越受欢迎

SeroXen 远程访问程序的实惠价格使其可供广泛的威胁参与者使用。自 2022 年 9 月 SeroXen 出现以来，AT&T 已经识别出大量 SeroXen 样本，并且最近围绕它开展的活动愈演愈烈。

虽然 SeroXen 的主要目标是游戏社区内的个人，但人们越来越担心，随着该工具的普及，它也可能被用来针对更大的实体，例如著名的公司和组织。

SeroXen 在网络犯罪分子中的日益流行可归因于其低检测率和强大的功能。它作为合法远程访问工具的欺骗性伪装使其成为威胁参与者的有吸引力的选择。为了降低与此远程访问木马相关的风险，个人和组织必须保持警惕并实施稳健的安全措施。

SeroXen RAT 由各种开源项目开发而成

SeroXen 利用了几个开源项目，包括Quasar RAT 、r77 rootkit 和 NirCmd 命令行工具。 SeroXen 开发人员巧妙地利用这些免费资源的组合来创建一种 RAT，这种 RAT 很难通过静态和动态分析进行检测。

Quasar RAT 自 2014 年首次发布以来已存在近十年，是 SeroXen RAT 的基础。它提供了一个最新版本为 1.41 的轻量级远程管理工具，其中包含反向代理、远程 shell、远程桌面、TLS 通信和文件管理系统等功能。它可以在 GitHub 上公开访问。

为了扩展其功能，SeroXen RAT 使用了 r77 (Ring 3) rootkit。这个开源 rootkit 提供无文件持久性、子进程挂钩、恶意软件嵌入、内存进程注入和反恶意软件检测逃避等功能。 SeroXen 还集成了 NirCmd 实用程序。 NirCmd 是一种免费软件工具，可通过命令行执行对 Windows 系统和外围设备进行简单的管理任务。

SeroXen RAT攻击分析

已采用各种攻击媒介来分发 SeroXen，包括网络犯罪分子利用的网络钓鱼电子邮件和 Discord 渠道。这些攻击者分发包含高度混淆的批处理文件的 ZIP 档案。

提取后，批处理文件解码 base64 编码的文本以提取两个二进制文件。然后使用 .NET 反射将这些二进制文件加载到内存中。执行恶意软件所必需的 msconfig.exe 的修改版本是唯一与磁盘交互的文件。它暂时存放在'C:\Windows\System32V 目录中（注意多余的空间），它存在时间很短，会在程序安装过程后被删除。

该批处理文件用作部署“InstallStager.exe”有效负载（r77 rootkit 的变体）的工具。为了保持隐蔽性和持久性，rootkit 被混淆并存储在 Windows 注册表中。随后，它通过任务计划程序使用 PowerShell 激活，将自身注入“winlogon.exe”进程。

通过这种注入，r77 rootkit 将 SeroXen RAT 引入系统内存，确保其隐蔽存在并实现对受感染设备的远程访问。一旦远程访问恶意软件启动，它就会与命令和控制服务器建立通信，等待攻击者的命令。

分析表明，SeroXen 使用了与 Quasar RAT 相同的 TLS 证书，并且它继承了原始项目的大部分功能。这些功能包括对 TCP 网络流的支持、高效的网络序列化和 QuickLZ 压缩。

网络安全研究人员警告说，SeroXen 的日益普及可能会导致重点从针对游戏玩家转向针对大型组织。为了帮助网络防御者对抗这种威胁，组织应该采取预防措施来应对这种威胁。有宝贵的资源可用于识别和缓解 SeroXen 在网络中的存在，使防御者能够增强其网络安全措施并防止潜在的攻击。