Mac遇到挖矿程序应急的方法
工作笔记:
1.起因:监控发现jsonrpc挖矿报警,询问当事人描述当时情况是安装了sketch软件。
网上可以定位到该IOC
运行后该IOC流量依然可以观测到:
2.分析:安装当事人发来的iflymac.dmg文件,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch、 AutoCAD、Betterzip、Moveist等常用mac os软件其中之一,根据传参来判断。下载完会运行xsdk进程,xsdk实际上是XMRig的源程序。
#./xsdk --version
xsdk进程执行过程中会释放出Tunings这个目录,Tunings中的文件使用后或者复制后(复制到/private/etc),会删除这个路径,Tunings结构如下:
periodoc.d/do_some: macos可执行文件,执行后判断系统C函数库版本,并写入c_version文件。 bbrj: macos可执行文件,执行后会调用系统curl访问IOC站点请求状态信息(返回信息为0或1)。
entconf:macos可执行文件,执行后会统计挖矿程序状态,包括统计挖矿速率khash/s,cpu利用率,系统基本信息以及可接受远端指令。由于此地址dns解 析已经失效,所以进程出现错误,调用khdjs来杀掉进程。
3.处置方案:
1)先杀掉可疑进程: ps aux | grep -E "mgo|xsdk"
2) 删除挖矿木马释放的文件及目录: rm-rvf /Users/用户名/Documents/Tunings
rm /etc/bbrj /etc/evtconf
rm -rvf /etc/mach_inlt
rm -rvf /etc/periodoc.d
3) /etc/sudoers文件被追加NOPASSWD标识,需要删除修改行。
参考博主(https://www.cnblogs.com/KevinGeorge/)的博文