分析报告

MAR-10459736.r1.v1 WHIRLPOOL后门

发布日期：2023年8月18日
警报代码：AR23-230A

通知

本报告按“原样”提供，仅用于信息目的。国土安全部（DHS）不对本文包含的任何信息提供任何保证。DHS不认可本公告中引用的任何商业产品或服务。

摘要

描述

CISA获取了WHIRLPOOL后门的一个变种。该恶意软件被威胁行为者利用CVE-2023-2868（影响Barracuda邮件安全网关5.1.3.001-9.2.0.006版本的零日漏洞）进行攻击。

WHIRLPOOL是一个后门，可建立到命令与控制服务器的传输层安全反向Shell。

技术发现

文件哈希：0af253e60456b03af49cc675f71d47b2dd9a48f50a927e43b9d8116985c06459
标签：特洛伊木马
详情：

• 名称：ssld
• 大小：5034648字节
• 类型：ELF 64位LSB可执行文件，x86-64架构，静态链接
• MD5：77e1e9bf69b09ed0840534adb8258540
• SHA256：0af253e60456b03af49cc675f71d47b2dd9a48f50a927e43b9d8116985c06459

YARA检测规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

rule CISA_10452108_02 : WHIRLPOOL backdoor communicates_with_c2 installs_other_components
{
    meta:
        Author = "CISA Code & Media Analysis"
        Incident = "10452108"
        Date = "2023-06-20"
        Family = "WHIRLPOOL"
        Capabilities = "communicates-with-c2 installs-other-components"
        Malware_Type = "backdoor"
    
    strings:
        $s0 = { 65 72 72 6f 72 20 2d 31 20 65 78 69 74 }
        $s1 = { 63 72 65 61 74 65 20 73 6f 63 6b 65 74 20 65 72 72 6f 72 3a 20 25 73 28 65 72 72 6f 72 3a 20 25 64 29 }
        $a5 = { 73 73 6c 5f 63 6f 6e 6e 65 63 74 }
    
    condition:
        uint32(0) == 0x464c457f and 4 of them
}

技术描述

文件’ssld’是一个Linux ELF反向Shell，是WHIRLPOOL恶意软件的变种，用于Barracuda邮件安全网关设备。该文件寻找带有’.io’扩展名的编码字符串，解码后的数据将作为C2服务器信息，包含用于建立反向Shell的IP地址和端口号。

安全建议

• 保持防病毒签名和引擎最新
• 及时更新操作系统补丁
• 禁用文件和打印机共享服务
• 限制用户安装和运行不需要的软件应用程序的权限
• 实施强密码策略并定期更换密码
• 在工作站上启用个人防火墙
• 扫描从互联网下载的所有软件
• 保持对最新威胁的情境感知

联系信息

CISA服务台：1-888-282-0870
恶意软件提交：https://malware.us-cert.gov