背景

最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三方dmg都是携带了相关恶意程序的。

现象

根据用户反映中招用户一般会有以下几个症状:

  • CPU占有率高
  • 系统卡顿
  • 活动监视器打不开
  • 电脑过热

木马

感染

经过简要分析,怀疑该木马源起于第三方安装包,在解压安装过程中,生成了一个伪装成11.png(名字可以变)的恶意文件和com.apple.Yahoo.plist(/Library/LaunchAgents/目录下)文件和com.apple.Google.plist(/Library/LaunchAgents/目录下)文件

  • com.apple.Google.plist(启动项配置)文件如下,它引导com.apple.Yahoo.plist执行
<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>

	<key>Label</key>

	<string>com.apple.Google</string>

	<key>Program</key>

	<string>/usr/bin/osascript</string>

	<key>ProgramArguments</key>

	<array>

		<string>osascript</string>

		<string>-e</string>

		<string>do shell script "osascript ~/Library/LaunchAgents/com.apple.Yahoo.plist"</string>

	</array>

	<key>RunAtLoad</key>

	<true/>

	<key>StartInterval</key>

	<integer>31104000</integer>

	<key>WatchPaths</key>

	<array/>

</dict>

</plist>

启动

找到一个其他的png文件,经鉴定运行起来后与11.png效果一致,认为是该木马的AppleScript文件。

该文件运行后会去ondayon.com:8080下载下列恶意文件

路径:~/Library/Safari目录下

  • ssl.plist(挖矿程序)
  • pools.txt
  • cpu.txt
  • config.txt
-rwxr-xr-x@  1 xxxxxx  staff   788212  8 17 16:08 ssl.plist

-rw-r--r--@  1 xxxxxx  staff      343  8 17 16:08 config.txt

-rw-r--r--@  1 xxxxxx  staff      229  8 17 16:08 pools.txt

-rw-r--r--@  1 xxxxxx  staff      256  8 17 16:08 cpu.txt

以及在对应的~/Library/Safari/openssl/lib/目录下

libcrypto.1.0.0.dylib

libssl.1.0.0.dylib

drwxr-xr-x@  4 xxxxxx  staff   128  5 30 16:51 .

drwxr-xr-x@  3 xxxxxx  staff      96 5 30 16:51 ..

-rwxr-xr-x@  1 xxxxxx  staff    385152  9 29  2017 libssl.1.0.0.dylib

-rwxr-xr-x@  1 xxxxxx  staff    1767648  9 29  2017 libcrypto.1.0.0.dylib

挖矿

ssl.plist是xmr的编译后的挖矿从程序,主要进行挖矿。

应急修复

  • 删除上文中提到的所有文件,杀掉相关进程;
  • 查找自己下载安装的第三方dmg或其他第三方APP安装包,找到有问题的之后删除即可;

相关IOC

IP地址

43.294.204.183

45.195.146.32

101.55.20.149

# Domain

ondayon.com

URL

http://ondayon.com:8080/ssl.zip

http://101.55.20.149/ssl.zip

http://101.55.20.149/gogoto.png

http://101.55.20.149/8/Build.zip

Hash



0659b79c1b1274dc1e708cae010c9a2e778a3a52a476262015a788082b22a697(ibcrypto.1.0.0.dylib)

fde413f8f369c2ede2f0f82e0ab7fe35eb6d4c770d73a6a58ad52fd9ddd65804(ssl.plist)

c60e197f216fe29f1a9d0b80d0381fcebefe04b6f4d68db3255b6a002f0018c3(libssl.1.0.0.dylib)

f89205a8091584e1215cf33854ad764939008004a688b7e530b085e3230effce(ondayon.png)

5619d101a7e554c4771935eb5d992b1a686d4f80a2740e8a8bb05b03a0d6dc2b(Install-LOL.app.zip)

2b566d454faabb38cd5b173f9365b89bda5e88d4bfaa7dea97512cc9d89e9150(Build.zip)

6e340b9cffb37a989ca544e6bb780a2c78901d3fb33738768511a30617afa01d(x.x)

ab4596d3f8347d447051eb4e4075e04c37ce161514b4ce3fae91010aac7ae97f(com.apple.Yahoo.plist)

2eb531d2d00c783fb83da9e925177a6aa3f567dec7f678cbe6c30f9dfd5111e7(com.apple.Google.plist)

Mac下一款门罗币挖矿木马的简要分析的更多相关文章

  1. Centos下挖XMR门罗币的详细教程

    很多朋友都看过我之前写的Ubuntu下挖XMR门罗币的教程,也有很多朋友提出,为什么不写个Centos的教程出来,今天我在这里就写个Centos的教程,看这个教程前,大家先看看之前的教程,因为里面涉及 ...

  2. 在Ubuntu下进行XMR Monero(门罗币)挖矿的超详细图文教程

    大家都知道,最近挖矿什么的非常流行,于是我也在网上看了一些大神写的教程,以及跟一些大神请教过如何挖矿,但是网上的教程都感觉写得不够详细,于是今天我这里整理一个教程,希望能够帮到想要挖矿的朋友. 首先, ...

  3. Web应急:门罗币恶意挖矿

    门罗币(Monero 或 XMR),它是一个非常注重于隐私.匿名性和不可跟踪的加密数字货币.只需在网页中配置好js脚本,打开网页就可以挖矿,是一种非常简单的挖矿方式,而通过这种恶意挖矿获取数字货币是黑 ...

  4. Mac下webpack安装

    最近开始接触构建工具webpack,公司电脑是 windows,而我自己的呢是mac.本来以为在自己电脑安装很简单,但是出了点问题,所以写出来分享下. 这里用npm的方式安装,首先你要安装node.j ...

  5. Mac下门罗币矿工样本分析

    背景 今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波. 查询网络 遇到了,主动下载样本分析,下载地址:http://rjj.q ...

  6. CentOS:xmr-stak-cpu安装,服务器CPU挖Monero门罗币

    一.获取钱包地址 可以使用本地钱包地址.首先到Monero官网下载本地钱包,支持Windows 64-bit.Windows 32-bit.Mac OS X 64-bit.Linux 64-bit.L ...

  7. linux 与 windows 挖门罗币总结

    比特币之前一直很火,初次了解的时候才2000RMB一枚..看不懂哇,错失良机...当然了,看得懂也不买不起..当时还是穷学生. 最近又一直看到黑客利用linux漏洞挖门罗币获利的新闻,决定好生研究一下 ...

  8. 威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”

    简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐 ...

  9. 在Mac下运行ASP.NET Core应用程序

    在Mac下运行ASP.NET Core应用程序 通过参照.NET Core相关官方文档,在我的Mac电脑上用Visual Studio Code创建了我的第一个ASP.NET应用. 开发环境搭建 首先 ...

随机推荐

  1. ttl传输中过期

    上renren时遇到一问题,突然间就无法登陆,看了下网络,正常呀,别的网站完全ok,就这不成,所以就ping了一下做以校验:如下图示:传输中过期ttl,这问题少见,新鲜呀:赶紧查了查:原来可能是产生了 ...

  2. scala实现相邻两个元素挑换位置的代码,哈哈

    import scala.math._ import breeze.plot._ import breeze.linalg._ import scala.collection.mutable.Arra ...

  3. IE10假死/未响应是为什么?

    不知道大家在使用IE10的时候会不会有像是假死一样的情况发生,在打开网页或者进行任何操作都会变得奇慢无比.随着最近在网上看视频的次数越来越多,这个问题越来越突出,越来越频发.于是分析进程的等待链,看看 ...

  4. 软件设计模式之单例模式(JAVA)

    什么是单例模式? 单例模式是一种常用的软件设计模式.在它的核心结构中只包含一个被称为单例类的特殊类.通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系 ...

  5. VMware Workstation “The Msi Failed”解决方法

    今天准备装虚拟机时,遇到一个问题一直没办法解决.折腾了一下午,总算解决了.在这里记录以下,以便大家遇到相同的问题时,能尽快解决. 由于以前安装过WMware Workstation,然后又卸载了.今天 ...

  6. 源码分析三(Vector与ArrayList的区别)

    前面讨论过ArrayList与LinkedList的区别,ArrayList的底层数据结构是数组Object[],而LinkedList底层维护 的是一个链表Entry,所以对于查询,肯定是Array ...

  7. js中push()的用法

    定义和用法 push() 方法可向数组的末尾添加一个或多个元素,并返回新的长度. 语法 arrayObject.push(newelement1,newelement2,....,newelement ...

  8. ios开发之--仿(微信)自定义表情键盘

    先附上demo:https://github.com/hgl753951/CusEmoji.git 效果图如下:

  9. Java获取项目当前请求的全部URL,Java获取Referer,Java获取完整链接地址URL

    Java获取项目当前请求的全部URL,Java获取Referer,Java获取完整链接地址URL >>>>>>>>>>>>> ...

  10. 【Python】Excel处理

    1.包导入 from openpyxl import Workbook from openpyxl import load_workbook from openpyxl.compat import r ...