SeroXen RAT

由於其強大的功能和逃避檢測的能力，網絡犯罪社區越來越多地採用名為“SeroXen”的隱蔽遠程訪問木馬 (RAT)。

根據 AT&T 的報告，該惡意軟件被欺騙性地作為 Windows 11 和 10 的合法遠程訪問工具進行營銷。每月訂閱費為 15 美元，或一次性“終身”許可費用為 60 美元。儘管作為合法工具出現，SeroXen 實際上在黑客論壇上被宣傳為遠程訪問木馬。這些促銷活動背後的個人身份，無論他們是真正的開發商還是不道德的經銷商，仍然不確定。

SeroXen RAT 在網絡犯罪分子中越來越受歡迎

SeroXen 遠程訪問程序的實惠價格使其可供廣泛的威脅參與者使用。自 2022 年 9 月 SeroXen 出現以來，AT&T 已經識別出大量 SeroXen 樣本，並且最近圍繞它開展的活動愈演愈烈。

雖然 SeroXen 的主要目標是遊戲社區內的個人，但人們越來越擔心，隨著該工具的普及，它也可能被用來針對更大的實體，例如著名的公司和組織。

SeroXen 在網絡犯罪分子中的日益流行可歸因於其低檢測率和強大的功能。它作為合法遠程訪問工具的欺騙性偽裝使其成為威脅行為者的有吸引力的選擇。為了減輕與此遠程訪問木馬相關的風險，個人和組織必須保持警惕並實施穩健的安全措施。

SeroXen RAT 由各種開源項目開發而成

SeroXen 利用了幾個開源項目，包括Quasar RAT 、r77 rootkit 和 NirCmd 命令行工具。 SeroXen 開發人員巧妙地利用這些免費資源的組合來創建一種 RAT，這種 RAT 很難通過靜態和動態分析進行檢測。

Quasar RAT 自 2014 年首次發布以來已存在近十年，是 SeroXen RAT 的基礎。它提供了一個最新版本為 1.41 的輕量級遠程管理工具，其中包含反向代理、遠程 shell、遠程桌面、TLS 通信和文件管理系統等功能。它可以在 GitHub 上公開訪問。

為了擴展其功能，SeroXen RAT 使用了 r77 (Ring 3) rootkit。這個開源 rootkit 提供無文件持久性、子進程掛鉤、惡意軟件嵌入、內存進程注入和反惡意軟件檢測逃避等功能。 SeroXen 還集成了 NirCmd 實用程序。 NirCmd 是一種免費軟件工具，可通過命令行執行對 Windows 系統和外圍設備進行簡單的管理任務。

SeroXen RAT攻擊分析

已採用各種攻擊媒介來分發 SeroXen，包括網絡犯罪分子利用的網絡釣魚電子郵件和 Discord 渠道。這些攻擊者分發包含高度混淆的批處理文件的 ZIP 檔案。

提取後，批處理文件解碼 base64 編碼的文本以提取兩個二進製文件。然後使用 .NET 反射將這些二進製文件加載到內存中。執行惡意軟件所必需的 msconfig.exe 的修改版本是唯一與磁盤交互的文件。它暫時存放在'C:\Windows\System32V 目錄中（注意多餘的空間），它存在時間很短，會在程序安裝過程後被刪除。

該批處理文件用作部署“InstallStager.exe”有效負載（r77 rootkit 的變體）的工具。為了保持隱蔽性和持久性，rootkit 被混淆並存儲在 Windows 註冊表中。隨後，它通過任務計劃程序使用 PowerShell 激活，將自身注入“winlogon.exe”進程。

通過這種注入，r77 rootkit 將 SeroXen RAT 引入系統內存，確保其隱蔽存在並實現對受感染設備的遠程訪問。一旦遠程訪問惡意軟件啟動，它就會與命令和控制服務器建立通信，等待攻擊者的命令。

分析表明，SeroXen 使用了與 Quasar RAT 相同的 TLS 證書，並且它繼承了原始項目的大部分功能。這些功能包括對 TCP 網絡流的支持、高效的網絡序列化和 QuickLZ 壓縮。

網絡安全研究人員警告說，SeroXen 的日益普及可能會導致重點從針對遊戲玩家轉向針對大型組織。為了幫助網絡防御者對抗這種威脅，組織應該採取預防措施來應對這種威脅。有寶貴的資源可用於識別和緩解 SeroXen 在網絡中的存在，使防御者能夠增強其網絡安全措施並防止潛在的攻擊。