Mac遇到挖礦程序應急的方法
工作筆記:
1.起因:監控發現jsonrpc挖礦報警,詢問當事人描述當時情況是安裝了sketch軟件。
網上可以定位到該IOC
運行后該IOC流量依然可以觀測到:
2.分析:安裝當事人發來的iflymac.dmg文件,首先會打開lauch-installer安裝程序,通過運行專用下載器執行script文件,文件利用curl下載sketch、 AutoCAD、Betterzip、Moveist等常用mac os軟件其中之一,根據傳參來判斷。下載完會運行xsdk進程,xsdk實際上是XMRig的源程序。
#./xsdk --version
xsdk進程執行過程中會釋放出Tunings這個目錄,Tunings中的文件使用后或者復制后(復制到/private/etc),會刪除這個路徑,Tunings結構如下:
periodoc.d/do_some: macos可執行文件,執行后判斷系統C函數庫版本,並寫入c_version文件。 bbrj: macos可執行文件,執行后會調用系統curl訪問IOC站點請求狀態信息(返回信息為0或1)。
entconf:macos可執行文件,執行后會統計挖礦程序狀態,包括統計挖礦速率khash/s,cpu利用率,系統基本信息以及可接受遠端指令。由於此地址dns解 析已經失效,所以進程出現錯誤,調用khdjs來殺掉進程。
3.處置方案:
1)先殺掉可疑進程: ps aux | grep -E "mgo|xsdk"
2) 刪除挖礦木馬釋放的文件及目錄: rm-rvf /Users/用戶名/Documents/Tunings
rm /etc/bbrj /etc/evtconf
rm -rvf /etc/mach_inlt
rm -rvf /etc/periodoc.d
3) /etc/sudoers文件被追加NOPASSWD標識,需要刪除修改行。
參考博主(
https://www.cnblogs.com/KevinGeorge/)的博文