背景
今天遇到一個JSONRPC的告警,懷疑挖礦木馬,IOC是132.148.245.101,無其他信息,隨即google一波。
查詢網絡
遇到了,主動下載樣本分析,下載地址:http://rjj.qibaxia.com/
運行后會有連接IOC的流量
確認
分析結構
本質是一個zip包,里面有很多東西,首先會打開lauch-installer安裝程序,通過運行專用下載器執行script文件,文件利用curl下載sketch、AutoCAD、Betterzip、Moveist等常用mac os軟件其中之一,根據傳參來判斷。下載完會運行xsdk進程,xsdk實際上是XMRig的源程序,找到它的釋放文件的目錄tunings
備注:tunning中的文件使用后或者復制后(復制到/private/etc),會刪除這個路徑
- periodoc.d目錄主要下的查看c的版本包含兩個文件(c_version和dosome):dosome是macos可執行文件,執行后判斷系統C函數庫版本,並寫入c_version文件。
- bbrj 檢查狀態,macos可執行文件,執行后會調用系統curl訪問IOC站點請求狀態信息(返回信息為ck2為0或ck為1)
- ncsys 啟動xsdk等進程
- mgo 執行下面的清理過程
- evtconf macos可執行文件,執行后會統計挖礦程序狀態,包括統計挖礦速率khash/s,cpu利用率,系統基本信息以及可接受遠端指令。由於此地址dns解析已經失效,所以進程出現錯誤,調用khdjs來殺掉進程。
- fc00757b9d01982
- fc00757b9d019b9
- firstr
- khdjs 執行一個結束進程的操作
還有一個會被自己刪除的目錄mach_inlt:在ps的結果中可以看出來,里面有:
- config.json 配置文件
- xsdk(xmrig)挖礦文件
#./xsdk --version
查看進程
看了一下做的基本操作有mgo:
- 修改mach_inlt的權限為777
- 復制該目錄到/private/etc下
- 修改periodoc.的目錄機子文件權限為777
- 復制該目錄到/private/etc下
- 進入Tuning路徑下,執行./firstr 到nohup.log
- 如果有xsdk進程,kill掉。
- 復制khdjs和evtconf到/private/etc/mach_inlt目錄下
- 進入/private/etc/mach_inlt目錄,修改xsdk、khdjs、evtconf的權限為777
- 插入一些內容到config.json文件
- 把nohup.log打包nc傳了回去
- 清空nohup.out,隱藏了mach_inlt路徑,並刪除了原來的Tunings目錄以及一些文件和歷史操作記錄
- 插入$d,在我的mac上是個空字符串,到幾個文件中。
懷疑以上很多步驟是清空痕跡所做的操作
常見IOC
IP
103.208.32.32
132.148.245.101
URL
http://rjj.qibaxia.com/
http://sgposerverbc.com/saklfelfwoifjonsd/do/s_version
safaf4hgjdn.space:5566
http://103.208.32.32/saklfelfwoifjonsd/do/ck
http://103.208.32.32/saklfelfwoifjonsd/do/ck2
Domain
rjj.qibaxia.com
sgposerverbc.com
safaf4hgjdn.space
Hash
da032427363701c0ce44037386215aca
8ee189d1ec7d13fd6197787873ee95f5
8c8fc4623da7f38c2897cd7e0a2f9747
db03e0a8bbd0c5cc83bcc74f7527b17e
c925e754140572c73e3fe5ca952f21f9
3f842468d2ce670ee19286b9d111c6ec
019ca941abe538d9caef5b492e1eff9c
b6fe20333176e8d0622f7fd1a895f45d
reg-id
# 在運行中生成的
隨機數+2991082+隨機數
補充
新行為發現
/etc/sudoers文件被追加NOPASSWD標識,需要刪除修改行。