Mac遇到挖矿程序的应急方法
Mac遇到挖矿程序应急的方法
工作笔记:
1.起因:监控发现jsonrpc挖矿报警,询问当事人描述当时情况是安装了sketch软件。
网上可以定位到该IOC
运行后该IOC流量依然可以观测到:
2.分析:安装当事人发来的iflymac.dmg文件,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch、 AutoCAD、Betterzip、Moveist等常用mac os软件其中之一,根据传参来判断。下载完会运行xsdk进程,xsdk实际上是XMRig的源程序。
#./xsdk --version
xsdk进程执行过程中会释放出Tunings这个目录,Tunings中的文件使用后或者复制后(复制到/private/etc),会删除这个路径,Tunings结构如下:
periodoc.d/do_some: macos可执行文件,执行后判断系统C函数库版本,并写入c_version文件。 bbrj: macos可执行文件,执行后会调用系统curl访问IOC站点请求状态信息(返回信息为0或1)。
entconf:macos可执行文件,执行后会统计挖矿程序状态,包括统计挖矿速率khash/s,cpu利用率,系统基本信息以及可接受远端指令。由于此地址dns解 析已经失效,所以进程出现错误,调用khdjs来杀掉进程。
3.处置方案:
1)先杀掉可疑进程: ps aux | grep -E "mgo|xsdk"
2) 删除挖矿木马释放的文件及目录: rm-rvf /Users/用户名/Documents/Tunings
rm /etc/bbrj /etc/evtconf
rm -rvf /etc/mach_inlt
rm -rvf /etc/periodoc.d
3) /etc/sudoers文件被追加NOPASSWD标识,需要删除修改行。
参考博主(https://www.cnblogs.com/KevinGeorge/)的博文
博主简介:博主国内安全行业目前最强大的网络安全公司做技术研究员,常年做技术工作。 获得过以下全国竞赛大奖: 《中国电子作品大赛一等奖》 《云计算技术大赛一等奖》 《AIIA人工智能大赛优胜奖》《网络安全知识竞赛一等奖》 《高新技术个人突出贡献奖》,并参与《虚拟化技术-**保密**》一书编写,现已出版。还拥有多项专利,多项软件著作权! 且学习状态上进,立志做技术牛逼的人。座右铭:在路上,永远年轻,永远热泪盈眶。可邮件联系博主共同进步,个人邮箱:Mrli888@88.com