背景
近期通過流量告警發現多起外連礦池的告警,均外連至43.249.204.231
威脅情報信息如下:
系統表象
1.通過ps -ef|grep osascript發現在/library/LaunchAgents/文件下均有惡意挖礦plist文件,主要為/library/LaunchAgents/com.apple.00.plist等形式,且plist已加密。有部分MAC還會存在一個下述所示的明文指向性plist文件,其在每次開機時通過osascript來執行AppleScript腳本來運行加密后的00.plist,kaspersky可以識別。
<dict>
<key>Label</key>
<string>com.apple.2KR</string>
<key>Program</key>
<string>/usr/bin/osascript</string>
<key>ProgramArguments</key>
<array>
<string>osascript</string>
<string>-e</string>
<string>do shell script "osascript ~/Library/LaunchAgents/com.apple.00.plist"</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>StartInterval</key>
<integer>60</integer>
<key>WatchPaths</key>
<array/>
</dict>
加密plist文件中的門羅幣挖礦程序(截圖來自該惡意程序慣用命名:ssl3.plist)
2.活動監視器無法打開
3.如果挖礦程序運行機器CPU異常、電腦異常發熱、卡頓
檢查與處理
需要檢查的目錄
通過ps -ef|grep osascript確認惡意plist所在位置進行檢查,同時還需要注意如下目錄:
~/Library/LaunchAgents
~/Library/Safari
~/Library/Safari/openssl/lib/
/private/etc/mach_inlt (注意其與init混淆)
/Library/LaunchDaemons(目錄下plist指向/etc/ncsys)
/etc/ncsys
/etc/evtconf
其中可能在目錄中發現:
不明*.plist為挖礦主程序,一般都是加密后的集成性工具,主程序支持多種虛擬貨幣挖掘。
pool.txt為礦池配置文件
Config.txt用於配置超時時間與錢包地址
cpu.txt 用於記錄CPU使用數
處理操作
1.殺掉相關進程
2.刪除相關惡意文件(尤其是第三方dmg以及非官方APP)
3.必須重裝系統
IOC
43.249.204.231
budaybu.com
f1d274c8a995d8b1030c21710d1ea725 *ssl3.plist
ff1d7c07d0aa0a95e930009a38f17289 *com.apple.0V.plist
a0933446d65192ff1290f67e4dda169c *com.apple.2KR.plist
fbc709097d02187418a9709433e707b8 *com.apple.00.plist
c925e754140572c73e3fe5ca952f21f9 *com.microsoft.autorun.plist
參考
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=1240
http://www.mamicode.com/info-detail-2415920.html
https://sensorstechforum.com/osx-coinminer-detect-remove-macbook/
https://blog.csdn.net/weinierzui/article/details/98331203