今日重大通报“哈灵麻将有挂吗贴吧”(确实是有挂)-知乎

一种名为 "SeroXen" 的隐秘远程访问木马 ( R* ) 最近开始流行，网络犯罪分子开始使用它，是因为它的检测到率低，功能强大。

*&T 报告说，该恶意软件以 Windows 11 和 10 的合法远程访问工具的名义出售，价格为每月 15 美元或一次性 " 终身 " 许可证支付 60 美元。

SeroXen 网站 ( BleepingComputer ) 上列出的功能

尽管以合法程序的名义销售，但 Flare Systems 网络安全平台显示，SeroXen 在黑客论坛上被宣传为远程访问木马。不清楚在论坛上宣传它的是否是开发人员，还是可疑的分销商。

然而，远程访问程序的低成本使得它对威胁 actor 非常具有吸引力，自 2022 年 9 月以来，*&T 已经观察到数百个样本，并且活动最近有所增加。

SeroXen 的受害者主要集中在游戏社区，但随着该工具的流行程度增加，其目标范围可能会扩展到包括大型企业和组织机构。

SeroXen 促销活动时间表 （*&T）

SeroXen 基于各种开源项目，包括 Quasar R*、r77 rootkit 和 NirCmd 命令行工具。

"SeroXen 开发人员发现了一种强大的免费资源组合，可以开发一种难以在静态和动态分析中检测到的 R*，" *&T 在报告中评论道。

" 使用像 Quasar 这样经过精心设计的开源 R*，自首次出现以来已有近十年的历史，为 R* [ ... ] 使该工具更难以捉摸，更难被发现。"

SeroXen 基于 Quasar R*，这是一款最初于 2014 年发布的轻量级远程管理系统。其最新版本 1.41 提供了反向代理、远程 shell、远程桌面、TLS 通信和文件管理系统，并通过 GitHub 免费发布。

r77 ( Ring 3 ) rootkit 是一款开源 rootkit，提供文件 less persistence、子进程钩子、恶意嵌入、内存进程注入和防杀毒软件绕过等功能。

NirCmd 是一款免费的工具，可以从命令行执行简单的 Windows 系统和外设管理任务。

*&T 已经看到攻击通过网络钓鱼电子邮件或 Discord 渠道推动 SeroXen，网络犯罪分子在这些渠道中分发包含高度混淆的批处理文件的 ZIP 存档。

混淆的批处理文件 ( *&T )

批处理文件从 base64 编码的文本中提取两个二进制文件，并使用 .NET 反射将它们加载到内存中。

接触磁盘的唯一文件是 msconfig.*e 的修改版本，恶意软件执行需要它，并临时存储在短暂的 "C:WindowsSystem32"（注意额外空间）目录中安装程序后将被删除。

这个批处理文件最终部署了一个名为 "InstallStager.*e" 的有效负载，这是 r77 rootkit 的一个变体。

将有效负载注入内存 ( *&T )

r77 rootkit 将 SeroXen R* 注入系统内存，确保它不被检测到，现在提供对设备的远程访问。

一旦启动远程访问恶意软件，它就会与命令和控制服务器建立通信并等待攻击者发出的命令。

SeroXen 的执行流程 （*&T）

分析师发现，SeroXen 使用与 QuasarR* 相同的 TLS 证书，并具有原始项目的大部分功能，包括 TCP 网络流支持、高效的网络序列化和 QuickLZ 压缩。

*&T 担心 SeroXen 的日益流行会吸引黑客对大型组织感兴趣，而不是专注于游戏玩家，因此已经发布了供网络防御者使用的妥协指标。