近期,一种名为“SeroXen”的隐蔽远程访问木马(RAT)因其低检测率和强大的功能而受到黑客的青睐。据AT&T(美国电信巨头)报告,该恶意软件以Windows 10及11的合法远程访问工具的名义售卖,每月订阅费30美元或单次支付60美元购买终身许可证。
虽然它表面上营销为合法程序,但Flare Systems的网络情报平台显示,SeroXen在黑客论坛上实际宣传为远程访问木马,声称能够在不被发现的情况下访问计算机。该远程访问程序的低成本及易获取性使其很容易被滥用,AT&T自SeroXen面世以来已经观察到数百个样本,并且最近活动有所增加。SeroXen主要通过流行游戏如《堡垒之夜》和《使命召唤:战区》等的作弊方式传播,目前大多数受害者都是游戏社区的成员。但随着该工具的普及,攻击范围扩大到大型公司和组织可能只是时间问题。
AT&T在分析后发现,SeroXen的开发基于各种开源项目,包括Quasar RAT、r77-rootkit和NirCmd命令行工具。Quasar RAT是一个免费发布在GitHub上的开源远程管理工具,最初发布于2014年。它的最新版本1.41具有反向代理、远程Shell、远程桌面、TLS通信和文件管理系统。r77-rootkit是一个开源rootkit,主要功能为无文件持久性、子进程挂钩、恶意软件嵌入、内存进程注入和免杀等。NirCmd则是一个免费的实用程序,可以从命令行执行简单的Windows系统和外围设备管理任务。
AT&T在报告中评论道:“SeroXen的开发者找到了一种强大的组合,利用免费资源开发了一种难以在静态和动态分析中检测到的RAT。”
根据AT&T的分析,黑客通常是通过钓鱼邮件或Discord频道推送SeroXen进行攻击,分发的是包含严重混淆的批处理文件的ZIP存档。一旦受害者启动远程访问恶意软件,它就会与C&C服务器建立通信,并等待攻击者发出的命令。
该RAT非常难以检测,SeroXen唯一创建的文件是msconfig.exe,但是这个文件会被放在一个看起来合法的文件夹中,在注入到正在运行的进程后运行恶意软件并删除自身。由于该恶意软件是无文件的且仅在内存中执行,可能会导致一些杀毒软件无法检测到它。除此之外,它还具有一些其他功能,例如能够识别虚拟化环境,一旦它检测到自己是在虚拟机或其他沙箱中运行,就将中止执行,从而延迟威胁分析。
鉴于其造成的影响在将来很可能会扩大,AT&T的Alien Labs团队表示其将继续监控SeroXen样本和基础设施的威胁态势。报告链接:https://cybersecurity.att.com/blogs/labs-research/seroxen-rat-for-sale
免杀
通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。
﹀
球分享
球点赞
球在看
原文始发于微信公众号(看雪学苑):游戏玩家注意!AT&T检测到一种隐蔽的远程访问木马