Mac遇到挖矿程序的应急方法

Mac遇到挖矿程序应急的方法

工作笔记：

 

1.起因：监控发现jsonrpc挖矿报警，询问当事人描述当时情况是安装了sketch软件。

 

 

网上可以定位到该IOC

 

 

 

运行后该IOC流量依然可以观测到： 

 

 

2.分析：安装当事人发来的iflymac.dmg文件，首先会打开lauch-installer安装程序，通过运行专用下载器执行script文件，文件利用curl下载sketch、 AutoCAD、Betterzip、Moveist等常用mac os软件其中之一，根据传参来判断。下载完会运行xsdk进程，xsdk实际上是XMRig的源程序。

#./xsdk --version 

 

 

xsdk进程执行过程中会释放出Tunings这个目录，Tunings中的文件使用后或者复制后（复制到/private/etc），会删除这个路径，Tunings结构如下：

 

 

 

periodoc.d/do_some: macos可执行文件，执行后判断系统C函数库版本，并写入c_version文件。 bbrj: macos可执行文件，执行后会调用系统curl访问IOC站点请求状态信息（返回信息为0或1）。 

 

 

 

 

 

 

entconf:macos可执行文件，执行后会统计挖矿程序状态，包括统计挖矿速率khash/s，cpu利用率，系统基本信息以及可接受远端指令。由于此地址dns解 析已经失效，所以进程出现错误，调用khdjs来杀掉进程。

 

 

 

 

 

 

3.处置方案：

1）先杀掉可疑进程： ps aux | grep -E "mgo|xsdk"

2) 删除挖矿木马释放的文件及目录: rm-rvf /Users/用户名/Documents/Tunings

rm /etc/bbrj /etc/evtconf

rm -rvf /etc/mach_inlt

rm -rvf /etc/periodoc.d

3) /etc/sudoers文件被追加NOPASSWD标识，需要删除修改行。 

 

参考博主（https://www.cnblogs.com/KevinGeorge/）的博文