XLR8钓鱼攻击－到底是谁在钓鱼？

事件背景

8月11号早上我们的威胁检测能力平台发现了一起针对客户企业邮箱进行定向的钓鱼攻击事件。攻击者采用了特殊的免杀技巧制作的CVE-2012-0158漏洞成功免杀了绝大多数的杀毒软件，并且释放下载的木马只有很少的杀毒软件可以检测到。

8月13号下午又发现了一起钓鱼，此次发送的是通过利用宏来进行感染被攻击者电脑，通过将两次事件关联，深入挖掘出背后的攻击者相关信息。

攻击者XLR8命名是通过分析样本中的pdb路径包含的电脑用户名XLR8而来。xlr8是一个Ben 10动画片里面的奇那快闪族人，外形酷似迅猛龙的外星人。Ben 10为美国时代华纳公司旗下Cartoon Network Studios的电视动画，于2005年推出，是Ben 10系列主剧情的第一套系列作，大陆称作少年骇客。

此文也对攻击者利用的文档免杀的高级技巧以及木马行为背后的相关信息做了一些分析。

攻击事件

攻击者伪装成来自Atlas Co. Shipping Services公司的Roldolf Arce发来的物流装箱清单资料。邮件接收着一旦打开这个附件，若系统没有打全补丁，将会触发漏洞攻击执行木马窃取受害者敏感信息。

邮箱的发送时间显示的是11号下午3:52，而接收时间是11号上午8:52,比较奇怪，中国属于东八区时间，这个发送时间比东八区还早7个小时，只能猜测这个时间可能是邮件发送服务器时间有误，无法推测出具体邮件的发生产生的时区。

攻击事件信息挖掘

数据挖掘

事件1

第一次攻击事件中，通过CVE-2012-0158 漏洞进行利用攻击，主要行为从http://62.113.xxx.xx/doc/bella.exe这里下载木马程序，并且设置开机启动。

此报告完成时，virustotal上仍没有该rtf样本的相关信息。

通过对样本连接的http://62.113.xxx.xx/doc/ 进行分析以及virustotal的ip关联查询，找到相关的样本及c&c域名

62.113.xxx.xx目录可以list，当前每天都在更新。

MD5 ：

主要分成三大类(VB/C++/C#)，相同语言编写的木马功能相差不多只是不断的免杀更新

C&C：

PDB path: ccc625f785bb8454d265bb1e1300e6e0  3-31 c:/users/xlr8/documents/visual studio 2010/Projects/StubTEST_3_30_2015/Release/StubTEST_3_30_2015.pdb 6cc24c9d85ec91a8fb50d172e5d63ce7    7-18 c:/users/jdc/documents/visual studio 2005/projects/stub1000_7_18_2015b/release/Stub1000_7_18_2015b.pdb bcc146640396694f75ba5836d4a41b6a 8-11 C://Users//RR//Desktop//Stub1000_8_10_2015b//Debug//Stub1000_8_10_2015b.pdb bc1947978bac1964d359ffa402b6691e 8-7 c://users//rr//documents//visual studio 2005//projects//stub1000_8_6_2015//debug//Stub1000_8_6_2015.pdb

事件2

第二次攻击事件攻击者发送一个invoice.doc 利用office宏来攻击受害者，从http://calxxx.xxxxxxx.com/wp-includes/oppa/bolabj.exe下载木马

通过分析这个站点，发现该站点可以LIST，发现该站点还有其他的一些木马程序：

发现此木马与攻击事件中62.113.xxx.xx站点上面的一个nano.exe 非常相像：

并且文件的详细信息类似相同的模式生成：

bolabj.exe：

同时也都是c#语言编写：

通过对这些木马的分析关联域名等信息，发现了下面的这些木马程序：

MD5

C&C

DropBox、GoogleSharedoc钓鱼

在http://calxxx.xxxxxxx.com/wp-includes/站点上发现了攻击者写好的针对googlesharedoc、dropbox.com的网页钓鱼的代码，同时也发现了攻击者的接受密码的邮箱信息。

DropBox

finish.php

GoogleShareDoc

validate.php

在 http://104.37.xxx.xx/ 站点上同样也可以LIST目录：

也有相应的GoogleDrive钓鱼页面

受害情况

攻击者发起的c&c是通过入侵正常的有漏洞的wp站点，植入webshell进行下一步攻击的，通过在calexxxx.xxxxxx.com站点发现了上传的webshell。

发现了中招的部分机器，目录下面为上传的一些已经受害主机上面的文件：

高级技巧

CVE-2012-0158 逃逸检测

RTF INFO

1 CVE-2012-0158 MSCOMCTL CLSID

2 内嵌的shellcode

免杀高级技巧

RTF格式简介

RTF文档由Control Word、Units、Control Symbol、Group、Destinations这些元素组成，其中对文档检测比较重要的是Control Word、Control Symbol、Group、Destinations。

Control Word是以’/’开头，跟随长度不大于32的ASCII字符序列，相当于关键字的作用，比如/rtf1表示RTF版本。

Control Symbol是以’/’开头，跟随一个非字母字符，相当于转义字符，比如/’xx，代表一个十六进制值。

Group是用’{‘、’}’ 包含文本、control words、control symbols元素，用于划定范围，比如{/rtf1 hello,rtf}代表一个有效的RTF文档，显示内容是hello,rtf，{}划定了整个RTF文档的范围。

Destinations属于Control Word的子集，比较关心的是”/*”的影响，与它关联的不可识别destinations将被忽略。

在文档检测技术中首先都会对文档进行解析重构，尽可能排除编码、变形等干扰，再进行特征匹配。而文档的标准格式和实际上对应的实现软件相差甚远，如rtf标准与微软的office软件，office实现了非常之多的兼容，可以解析各种畸形的格式，从标准来看完全不合法。 如果静态检测引擎不能支持这些畸形的格式，则会很容易被逃避检测。

技巧1：垃圾数据干扰

RTF文档开头特征”{/rtf1”中插入了大量无用垃圾数据，并不会影响微软解析该文档，但是可能会影响到杀软文档解析。

技巧2：/{、/}干扰Group

样本中有几处使用类似”/*/}”、”/#/{“把Group关键字符的转义，对杀软解析文档也造成了一定的干扰。

技巧3：关键CLSID干扰

仔细观察该样本中引用控件的细节，发现在clsid中插入了一个’}’字符。

’}’字符标识了/objdata数据结束，可以理解成最终重构的片段结果类似于{/object/objocx{A/#/#/objdata{….4BF}0D1BD8B85D111B16A00c0F0283628….}，这样是无法匹配出漏洞控件的CLSID信息4BF0D1BD8B85D111B16A00c0F0283628。

通过对比测试，发现微软的解析逻辑中虽然/objdata数据已经结束，但是/objocx还没闭合，后续的数据仍追加给/objdata，所以可以正常解析该文档，触发漏洞。

查杀情况

通过测试主流的杀毒软件，当前只有avast可以进行查杀 其他的比如卡巴、麦咖啡、赛门铁克、Clamav、NOD32、Avira、GData、MSE均查杀不到。

木马功能与常用手法

C++ / nn.exe功能

以nn.exe释放的核心木马为例，分析其功能。

远程控制端下发命令，可完成如下任务：

1. 收集受感染机器用户名、机器名、系统、磁盘、会话、进程、窗口信息 2. 下载并执行程序 3. 截取屏幕 4. 模拟键盘、鼠标点击 5. 清除自启动 6. 执行程序 7. 创建、浏览目录、创建、移动、删除、复制文件 8. 命令行shell 9. 终止进程 10. 窗口操作 11. 窃取Internet Explorer、Mozilla Firefox、SeaMonkey、Chrome、Chromium、Opera账号密码，浏览记录等 12. 窃取用户凭证 13. 窃取Outlook、Mozilla Thunderbird账号密码 14. 录音

远程指令处理函数：

C# / bolaca.exe 功能 

以bolaca.exe释放的核心木马为例，分析其功能：

1. 关闭浏览器安全防护功能 2. 截取屏幕 3. 窃取ftp客户端用户名、密码 4. 窃取winscp、FileZilla客户端服务器地址、用户名、密码 5. 发送垃圾邮件 6. 远程关机、重启计算机 7. 修改浏览器主页 8. 窃取浏览器保存Cookies、用户名、密码 9. 远程执行代码、远程界面控制 10. 窃取用户凭证 11. 拦截url 12. TTP注入劫持 13. 劫持其他进程网络、剪切板、消息、证书等相关函数，窃取数据 14. 更新升级 15. 卸载自身

例如截取屏幕相关代码：

常用手法

启动项

/REGISTRY/USER/S-1-5-21-1078081533-1606980848-854245398-500/Software/Microsoft/Windows/CurrentVersion/Run //REGISTRY//MACHINE//SOFTWARE//Microsoft//Active Setup//Installed Components//{AE76O20N-CT08-8Y83-PA8A-6O4260Y172Y6} //REGISTRY//MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run C:/Documents and Settings/Administrator/「开始」菜单/程序/启动 HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/Load

常用工具

钓鱼邮件发送php：

攻击者的站点上发现一个用来发送钓鱼邮件的php文件

Webshell

ValdezSHelL v2.0.09.11

代码习惯

代码加密、混淆

nn.exe提取自身资源并解密释放木马：

对C&C信息、特征CLSID等信息进行了加密。

根据解密信息特征，发现该样本可能属于NetWired家族。

C#木马也进行了不同程度的混淆

bolaca.exe部分混淆代码：

bolaca.exe解密资源释放c#程序drop_stage1.exe：

drop_stage1.exe解析自身资源获取相关配置，对bolaca.exe资源中最终木马文件drop_stage2.exe进行解密并执行。

配置内容：

drop_stage2.exe，该程序由c语言编写，对大量字符串进行加密：

其中有的函数体也进行了加密，如下：

根据服务端与该木马的信息特征，发现该样本属于ZBOT家族。

查杀情况

时间比较长的木马当前杀软均可以查杀：

最新出现的木马只有很少的杀毒软件可以查杀：

攻击者画像

从样本的编译时间以及这些木马站点的上传时间来看，最早的攻击可以追溯到15年初最近的8月14号，作者在持续的更新木马来免杀绕过杀毒软件。

从样本的编写语言来看，作者可能会vb、c#、c、c++多种语言，也有可能是2个或者三个人。到今年六月份出现vb编写的木马，但是从分析情况来看vb作者写的不是很稳定，可能是新学或者有伙伴加入。

从攻击者发送钓鱼邮件来看，早期攻击者主要直接发送一些迷惑性的文件名如PO.EXE、New P.O-pdf.exe，到最近发送通过高级免杀的漏洞攻击样本来进行攻击，很有可能是有新的伙伴加入或者攻击者本身技能提升，威胁程度在提高。

从利用的c&c域名来看，部分采用的是freedns、二级域名来解析获取真正连接的ip，可以非常方便的来隐藏域名注册的一些信息，而且域名解析达到的ip也在一直变化，onxxxxxx.xxxxxer.com早期解析到185.17.xxx.xxx:3360，后来开始解析到95.140.xxx.xxx:3360；另一方面，采用入侵有漏洞的wp站点，在这些站点上上传webshell，作为c&c控制端以及恶意的木马程序下发端。

从pdb路径的变化看，攻击者在3月之后换过一次电脑(重装过系统),一开始的电脑使用名为xlr8 ，使用vs2010作为开发环境后来转为vs2005。

从编译的语言代码来看，作者来自使用英语的国家，同时作者电脑名为xlr8，是美国时代华纳公司旗下Cartoon Network Studios的电视动画，大陆称作少年骇客，非常可能来自美国。

通过事件2中也发现了攻击者接受dropbox和googleshardoc钓鱼登录用户名密码信息邮箱，进行一些关联搜索，发现攻击者注册了一些域名。

定性

结合此次事件以及相关的一些信息，攻击者为专业的从事钓鱼的人员，通过自建、或者入侵有漏洞的网站作为c&c，针对各大企业在外公布的企业邮箱为目标，以发送带漏洞的附件文档、宏文档、EXE、钓鱼链接，窃取敏感的资料。

防御

普通用户不要轻易打开陌生人发来的文档、EXE，若发现可疑，可以提交到https://b-chao.com/  进行检测，尤其是各类invoice、order、scanfile、agreement命名的一些文档。  企业内部用户可以针对上述的c&c域名做些排查是否曾经连接过这些域名确认是否中招。 后续我们也会持续关注钓鱼组织的动态。

作者：阿里基础安全威胁情报中心（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）