Xeno RAT：一种具有高级功能的新型远程访问木马

Auguest

执行摘要

在 CYFIRMA，我们致力于提供针对组织和个人的恶意实体所使用的普遍威胁和策略的最新见解。这项深入检查的重点是 Xeno RAT 的扩散；一种设计复杂的恶意软件，具有先进的功能，可以在 GitHub 上方便地免费访问。该研究探讨了威胁行为者为逃避检测而采用的一系列规避策略，同时还阐明了制作弹性恶意软件有效负载所涉及的程序。值得注意的是，该报告强调了这些威胁的适应性特征，强调必须增强安全协议和用户警惕性，以有效减轻相关风险。



介绍

在网络威胁以前所未有的速度发展的时代，了解和打击 Xeno RAT 等复杂的恶意软件至关重要。本研究提供了 Xeno RAT 的简明概述；一种用 C# 编写的强大恶意软件，拥有先进的功能。本文深入研究其传播、规避技术和弹性有效负载生成过程，旨在揭示当代网络威胁的动态本质，强调迫切需要加强安全措施和用户意识来防范此类恶意实体。



主要发现

Xeno RAT 拥有高级恶意软件的复杂功能和特征。

该恶意软件的开发人员选择将其作为开源项目维护，并通过 GitHub 进行访问。

威胁行为者定制了其设置并通过 Discord CDN 进行传播。

主要载体以快捷方式文件的形式，伪装成 WhatsApp 屏幕截图，充当下载器。

下载器从 Discord CDN 下载 zip 存档，提取并执行下一阶段的有效负载。

采用多步骤过程来生成恶意软件的最终有效负载。

它在执行最后阶段之前查找调试器、监视和分析工具。

采用反调试技术，遵循隐秘操作流程。

恶意软件将自身添加为计划任务以实现持久性。

利用 Windows 中的 DLL 搜索顺序功能将恶意 DLL 加载到受信任的可执行进程中。

将恶意代码（进程注入）注入到合法的Windows进程中。

对受感染的系统进行持续监控。

在文件/代码中采用广泛的混淆技术来有效逃避检测。

使用模糊的网络流量来接收指令和更新。

与 C2 进行通信，定期更新状态并接收指令。

ETLM属性

Xeno RAT 的开发者选择开源代码并在 GitHub 上免费提供：

开发人员还承诺随着时间的推移不断提供更新，将附加功能融入到恶意软件中。



Xeno RAT 服务器包含一个构建器模块，可以创建恶意软件的定制版本。

威胁行为者利用此功能通过 Discord CDN 开发和分发他们自己的恶意软件版本。他们使用一个快捷方式文件作为下载器，负责获取和执行后续的有效负载。

分析确定了内部 liveapps[.]online 域，该域链接到威胁参与者并解析为 IP 地址 45[.]61[.]139[.]51。域名和IP地址的检测率均较低：



尚未发现与此域/IP 地址相关的已知威胁行为者关联。

威胁格局：从外部威胁格局的角度来看，具有高级功能的免费恶意软件的存在，例如正在积极开发以增强其功能的 Xeno RAT，凸显了一个令人担忧的趋势。Cyfirma 的研究团队重点介绍了威胁行为者不断演变的策略，他们利用开源恶意软件制作定制的恶意软件来危害其目标。

原始恶意软件二进制文件的开发人员通过采用多种技术来混淆恶意样本，从而展示了适应性，其目标是在较长时间内保持不被发现。这强调了持续保持警惕并实施先进检测措施以有效应对这些动态威胁的必要性。

Xeno-RAT 分析



主要恶意软件样本以快捷方式文件 (.lnk) 形式提供，标签为“WhatsApp_2023-12-12_12-59-06-18264122612_DCIM.png”：



该文件充当下载程序，利用 Windows 命令 shell 从位于 Discord CDN URL 的 zip 存档中检索、提取和执行有效负载。文件的目标字段包含混淆的命令行参数：





行为和代码分析

第一阶段执行：

去混淆命令显示来自两个缩短的 URL 的下载，两个 URL 都指向 Discord CDN URL。命令中的第一个 URL 下载非恶意图像，同时从第二个 URL 检索有效负载。



如去混淆参数所示，zip 存档会下载并解压到目录“C:\Users\user\AppData\Roaming\Adobe\Drivers”中。



zip 存档：



该 zip 存档包含三个文件，两个可移植可执行文件（exe 和 DLL）和一个名为“LICENSE”的未知文件：





Windows 可执行文件“ADExplorer64.exe”是 Windows Sysinternals 提供的 Active Directory Explorer，用作高级 Active Directory (AD) 查看器和编辑器：

Filename: ADExplorer64.exe
MD5: 2661f8272ada236cf3aeb9ce9323626c
SHA-256: e451287843b3927c6046eaabd3e22b929bc1f445eec23a73b1398b115d02e4fb
Signature: Signed file (valid signature)
File version: 1.52

DLL 文件“samcli.dll”是恶意负载。它模仿真正的 DLL 文件“Security Accounts Manager Client DLL”的名称，该文件通常位于 Microsoft Windows 系统上的 C:\Windows\System32 目录中：



文件签名后，无法验证签名中的证书：



LICENSE 文件包含具有读/写权限的模糊文本：







第二阶段执行：

在第二阶段执行期间，.lnk 文件中的命令在没有任何提示的情况下启动了 Active Directory Explorer (ADExplorer64.exe)（命令：ADExplorer64.exe /accepteula /snapshot 127.0.0.1 faa -noconnection）。



ADExplorer64.exe 的功能依赖于 samcli.dll（通常位于 Windows\System32 目录中）。在这种情况下，威胁行为者通过在当前工作目录中定位同名的恶意 DLL，利用了 Windows 操作系统的 DLL 搜索顺序功能。因此，恶意samcli.exe被加载到ADExplorer64.exe进程中。



在后续操作中，ADExplorer64.exe还读取了混淆后的文件LICENSE：



此外，ADExplorer64 创建一个名为“hh.exe”的挂起进程，写入其内存（进程注入），然后恢复线程：





ADExplorer64.exe 修改（解码为其自身功能）从 LICENSE 文件中读取的内容并将其注入到 hh.exe 的进程内存中：







ADExplorer64.exe还在当前工作目录中创建了两个快捷方式文件：





Support.url文件指向Giude.lnk文件，该文件运行初始阶段执行ADExplorer64.exe的命令，如上面的屏幕截图所示。



第三阶段执行：

在第三阶段执行期间，hh.exe进程生成一个挂起的colorcpl.exe进程，并随后写入其内存（进程注入）：




hh.exe 进程终止，colorcpl.exe 进程在 explorer.exe（父进程）下恢复：



注入的进程hh.exe采用防御措施来逃避分析：



最后阶段执行：

在最后阶段，开始执行 colorcpl.exe。它会执行检查以确定受害计算机上是否安装了 Xeno RAT：



确认不存在 Xeno RAT（在未受感染的主机上）后，进程开始与域“internal-liveapps[.]online”通信，该域解析为 IP 地址：45[.]61[.]139[.]51 :



它通过网络连续发送和接收混淆内容，表现出类似于远程访问木马 (RAT) 活动的模式：



colorcpl.exe 进程的映射内存揭示了其功能，包括通过 SOCKS 代理与命令和控制 (C2) 服务器进行通信、接收命令、传输更新、在启动时添加和删除以及自行卸载：



Xeno RAT 还将自身添加到计划任务中以实现持久化：







Xeno RAT 功能

对 Xeno RAT 的检查产生了宝贵的见解并揭示了其操作特征。根据此分析和提取的数据，以下几点概述了该远程访问木马的功能：



监视受害者的活动。

运作隐蔽。

使用防御措施来逃避分析。

使用隐藏虚拟网络计算来访问受感染的系统。

使用scoks5代理连接C2服务器。

使用计划任务进行持久化。

利用进程注入来定位合法的 Windows 进程（hh.exe 和 colorcpl.exe）

在代码和网络流量中使用混淆。

接收并执行来自C2的命令。

采用反调试措施并主动规避检测机制。

定期向 C2 发送状态更新。

它可以在系统启动中添加和删除。

它可以从受感染的系统中自行卸载。



结论

总之，Xeno RAT 是一种动态演变的恶意软件，拥有用 C# 编码的高级功能。它可以在 GitHub 上免费访问，威胁行为者利用它通过多种策略渗透目标，例如分发免费内容和网络钓鱼电子邮件。此外，开发人员承诺不断更新以增强其功能。



为了降低与 Xeno RAT 恶意软件相关的风险，用户在打开来自不可信来源的文件或单击不熟悉的链接时应谨慎行事，尤其是那些提供可疑软件或内容的链接。此外，部署强大的网络安全措施，包括使用信誉良好的防病毒软件、确保软件定期更新以及对社会工程策略保持警惕，可以显着增强对此类威胁的防护。



平台提供商和用户都必须保持警惕，检测和报告可疑活动。网络安全专业人员和平台管理员之间的合作对于及时识别和解决此类威胁、打造更安全的在线环境至关重要。教育和宣传活动对于让个人具备识别和规避此类恶意软件的知识也至关重要，最终培育一个更具弹性和安全的在线生态系统。



13b1d354ac2649b309b0d9229def8091
848020d2e8bacd35c71b78e1a81c669c9dc63c78dd3db5a97200fc87aeb44c3c
6f9e84087cabbb9aaa7d8aba43a84dcf
4d0d8c2696588ff74fe7d9f8c2097fddd665308fccf16ffea23b9741a261b1c0
7704241dd8770b11b50b1448647197a5
1762536a663879d5fb8a94c1d145331e1d001fb27f787d79691f9f8208fc68f2
0aa5930aa736636fd95907328d47ea45
96b091ce5d06afd11ee5ad911566645dbe32bfe1da2269a3d3ef8d3fa0014689

C2地址：
45[.]61[.]139[.]51
internal-liveapps[.]online