2022’nin sonlarında piyasaya sürülen bir Uzaktan Erişim Truva Atı (RAT) olan SeroXen RAT, şimdi ilgi görüyor. Güvenlik araştırmacıları ve tehdit analistleri, onu bilgisayarlara gizli erişim için meşru bir araç olarak pazarlama girişimlerini tespit ettiler.
SeroXen RAT, aylık 30$’lık lisans fiyatı ve 60$’lık ömür boyu paket ile uygun fiyatlıdır ve bu da onu çok çeşitli kullanıcılar için erişilebilir kılar. Dosyasız yapısıyla RAT, hem statik hem de dinamik analizden kaçınma konusunda mükemmeldir.
AT&T Alien Labs araştırmacıları Alejandro Prada ve Ofer Caspi, SeroXen RAT’ın çalışma şeklini açıkladı.
“SeroXen, birden çok açık kaynaklı aracı tek bir güçlü kötü amaçlı yazılımda birleştiriyor. Buna, uzaktan erişim yetenekleri için Quasar RAT ve sistemdeki varlığını gizlemek için r77-rootkit adlı bir rootkit dahildir; buna süreçler, dosyalar, ağ bağlantıları ve daha fazlası dahildir” dedi güvenlik araştırmacıları The Cyber Express’e.
Kötü amaçlı yazılım, algılanmasını zorlaştıran gizlenmiş bir toplu iş dosyası olarak sunulur. SeroXen dosyasızdır, süreci diğer süreçlere enjekte edilir, bu da tespit edilmesini zorlaştırır, diye eklediler.
SeroXen RAT, yeteneklerini geliştirmek için Quasar RAT, r77-rootkit ve komut satırı yardımcı programı NirCmd dahil olmak üzere çeşitli açık kaynaklı projeleri birleştirir.
SeroXen RAT’ın pazarlanması ve dağıtımı
Açık kaynaklı bir uzaktan yönetim aracı olan Quasar RAT, tehdit aktörleri, APT grupları ve devlet destekli saldırılar tarafından gerçekleştirilen uzun süreli kötü niyetli faaliyetler geçmişine sahiptir.
“xRAT” adı altında ilk sürümü Temmuz 2014’te gerçekleşti ve daha sonra Ağustos 2015’te “Quasar” olarak yeniden adlandırıldı. Araç, Mart 2023’te 1.4.1 sürümüne kadar güncellendi ve tehdit aktörleri arasında kalıcı popülaritesini gösterdi. ve diğer yüklerle entegrasyonu.
İmaj Kredisi: AT&T Uzaylı Laboratuvarları
AT&T Alien Labs tarafından yapılan yakın tarihli bir SeroXen RAT analizi, bunun açık kaynaklı Quasar RAT’ın değiştirilmiş bir dalı olduğunu ortaya çıkardı.
Bu yeni varyant, ek özellikler sunar ve aracın satıcısı olduğunu iddia eden bir kişi tarafından pazarlanıp satılır.
SeroXen RAT’ın ilk görünümü, aynı zamanda YouTube’da RAT hakkında bir inceleme yayınlayan, saldırganlar için değerini vurgulayan ve başkalarını onu satın almaya teşvik eden İngilizce konuşan bir gençle ilişkili bir Twitter hesabındaydı.
Aralık 2022’de özel bir alan olan SeroXen[.]com, RAT pazarlamak ve satmak üzere tescil edilmiştir. Bu sıralarda SeroXen RAT, VirusTotal’da sıfır tespitle vahşi ortamda gözlemlenmeye başladı.
Kötü amaçlı yazılım hızla popülerlik kazandı ve TikTok, Twitter ve YouTube gibi sosyal medya platformlarında ve hack forumları gibi cracking forumlarında reklamı yapıldı. Oyun forumlarındaki kullanıcılar, daha sonra SeroXen RAT olarak tanımlanan video oyunlarını indirdikten sonra virüs bulaştığını bildirdi.
SeroXen RAT’ın dosyasız doğası: Oyun topluluğunu hedefliyor
Tespitten kaçınmak için SeroXen RAT’in arkasındaki tehdit aktörü, RAT ile ilişkili alan adını sürekli olarak günceller. SeroXen.com’u devre dışı bıraktıktan sonra SeroXen’e geçtiler [.]Mart 2023’te net.
Yeni alan, barındırma için GoDaddy ve Cloudflare kullanılarak kaydedildi, ancak Komuta ve Kontrol (C&C) iletişimleri için değil, yalnızca pazarlama ve satış için kullanılıyor.
VirusTotal’a yüklenen örnekler incelendiğinde, SeroXen RAT’ın öncelikli olarak video oyunu kullanıcılarını hedef aldığı ortaya çıkıyor.
Adları Fortnite, Valorant, Roblox ve
Warzone 2 gözlemlendi. Tehdit aktörü, oyun topluluğunun platformdaki aktif varlığından yararlanarak bazı örnekleri dağıtmak için Discord’u da kullandı.
SeroXen RAT’ın en belirgin satış noktası, statik analiz sırasında tamamen tespit edilemez olmasıdır. RAT, genellikle 12-14 megabayt olan, gizlenmiş bir PowerShell toplu iş dosyasına paketlenir.
Bu büyük boyut, belirli virüsten koruma programlarının onu analiz etmesini engelleyebilir ve potansiyel olarak SeroXen RAT’ın algılamayı atlamasına izin verebilir. Analiz edilen mevcut örnek VirusTotal’da sıfır algılamaya sahipken, bazı kitle kaynaklı Sigma Kuralları, etkinliğini şüpheli olarak işaretler.
SeroXen RAT: Dinamik analizden ve Sandbox tespitinden kaçınma
Dosyasız doğasına ek olarak, SeroXen RAT, dinamik analiz için zorluklar yaratır. Korumalı alan ortamları, sanallaştırma ve sanal alan algılama mekanizmalarından kaçan gelişmiş teknikleri ve sonraki yükler için dizi şifreleme kullanması nedeniyle RAT’ı algılamada başarısız olabilir.
RAT’ın çalışma mekaniğini daha iyi anlamak için TCE, kaçma teknikleri hakkında bilgi edinmek için AT&T Alien Labs’a ulaştı.
AT&T Alien Labs araştırmacıları, SeroXen’in, sonunda polimorfik bir toplu iş dosyası olarak teslim edildiğinde, son kötü amaçlı yükü çoklu sıkıştırma ve şifreleme katmanları aracılığıyla paketleyerek tespitinden kaçtığını söyledi.
Ek olarak, kötü amaçlı yazılım kendisini diğer işlemlere enjekte etmek için bir rootkit kullanır. Kötü amaçlı yazılım dosyasız olduğundan, kalıcılık için kayıt defterinde saklanan gizlenmiş bir PowerShell betiğini çağıracak zamanlanmış görevler oluşturduğunu eklediler.
RAT ayrıca VMware gibi sanallaştırma ortamlarını tanımlamak için Windows Yönetim Araçları (WMI) kullanan hata ayıklama önleme teknikleri kullanır, böylece analizi geciktirir ve karmaşıklaştırır. Ayrıca hata ayıklayıcıların varlığını kontrol eder ve algılamadan daha fazla kaçınarak iş parçacıklarını uyku moduna geçirmek için pingler kullanır.
Yürütme sırasında SeroXen RAT, alt işlemleri ve bırakılan dosyaları için düşük algılama oranları sergiler. Kötü amaçlı yük, genellikle kimlik avı e-postaları veya Discord kanalları aracılığıyla kurbana teslim edildiğinde, kurban zararsız bir dosya içeren bir ZIP dosyası alır.
Buna karşılık, yoğun şekilde gizlenmiş toplu iş dosyası gizli kalır ve başlatıldığında otomatik olarak yürütülür.
Rootkit, diğer özelliklerin yanı sıra dosyasız kalıcılık, alt süreç çengelleme ve bellek içi süreç enjeksiyonu sağlar. Ayrıca, şifresi çözülen ve diğer işlemlere enjekte edilen NirCmd veya Quasar gibi ek kötü amaçlı yazılımları yerleştirme yeteneğine de sahiptir.
Rootkit, sistem içinde SeroXen RAT’ın gizlice yürütülmesini sağlamayı amaçlar. İşlem enjeksiyonlarını kullanır, diğer işlemlerden alınan komutları yürütür ve algılanmayı önlemek için AMSI atlama ve DLL kancasını kaldırma gibi çeşitli teknikler kullanır.
RAT ile komuta ve kontrol (C&C) sunucusu arasındaki iletişim, Quasar RAT ile aynı Ortak Adı taşıyan bir sertifika ile TLS şifrelemesini kullanır.
C&C sunucusunun işlevleri, TCP ağ akışları için destek, ağ serileştirme, QuickLZ kullanarak sıkıştırma ve TLS şifreleme yoluyla güvenli iletişim dahil olmak üzere Quasar GitHub deposunda bulunanlara çok benzer.
SeroXen RAT ve gelecekteki tehdit ortamı
Özetlemek gerekirse, SeroXen RAT’ın arkasındaki geliştirici, statik ve dinamik analizde tespit edilmekten kaçınan bir RAT oluşturmak için ücretsiz kaynakları akıllıca birleştirdi.
NirCmd ve r77-rootkit ile tamamlanan Quasar RAT’ın yeteneklerinden yararlanılarak, araç oldukça zor ve tespit edilmesi zor hale geldi.
Şu anki odak noktası öncelikle oyun toplulukları olsa da, şirketlere yönelik hedefli saldırılarda SeroXen RAT’ın kullanılması an meselesi.
Tehdit ortamı, SeroXen RAT gibi araçlar ve hizmetlerle gelişmeye devam ederken, AT&T Alien Labs’deki güvenlik araştırmacıları, kuruluşların kendilerini SeroXen RAT saldırılarına karşı korumak için benimseyebilecekleri hızlı yanıt planlarını paylaştı:
- En son algılama imzalarına sahip antivirüs gibi güvenlik ürünlerini kurun ve saklayın
- Yazılımı güncel tutun: Güvenlik açıklarını yamalamak için işletim sistemlerini, uygulamaları ve ürün yazılımını düzenli olarak güncelleyin
- Şüpheli dosyaları veya e-postaları açmayın.
- Güvenlik bilinci: Personel üyelerini gelişen tehditler ve güvende kalmaya yönelik en iyi uygulamalar konusunda eğitin