Mac下门罗币矿工样本分析
背景
今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波。
查询网络
遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/


运行后会有连接IOC的流量

确认
分析结构
本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch、AutoCAD、Betterzip、Moveist等常用mac os软件其中之一,根据传参来判断。下载完会运行xsdk进程,xsdk实际上是XMRig的源程序,找到它的释放文件的目录tunings

备注:tunning中的文件使用后或者复制后(复制到/private/etc),会删除这个路径
- periodoc.d目录主要下的查看c的版本包含两个文件(c_version和dosome):dosome是macos可执行文件,执行后判断系统C函数库版本,并写入c_version文件。
- bbrj 检查状态,macos可执行文件,执行后会调用系统curl访问IOC站点请求状态信息(返回信息为ck2为0或ck为1)

- ncsys 启动xsdk等进程
- mgo 执行下面的清理过程
- evtconf macos可执行文件,执行后会统计挖矿程序状态,包括统计挖矿速率khash/s,cpu利用率,系统基本信息以及可接受远端指令。由于此地址dns解析已经失效,所以进程出现错误,调用khdjs来杀掉进程。
- fc00757b9d01982
- fc00757b9d019b9
- firstr
- khdjs 执行一个结束进程的操作
还有一个会被自己删除的目录mach_inlt:在ps的结果中可以看出来,里面有:
- config.json 配置文件
- xsdk(xmrig)挖矿文件
#./xsdk --version

查看进程

看了一下做的基本操作有mgo:
- 修改mach_inlt的权限为777
- 复制该目录到/private/etc下
- 修改periodoc.的目录机子文件权限为777
- 复制该目录到/private/etc下
- 进入Tuning路径下,执行./firstr 到nohup.log
- 如果有xsdk进程,kill掉。
- 复制khdjs和evtconf到/private/etc/mach_inlt目录下
- 进入/private/etc/mach_inlt目录,修改xsdk、khdjs、evtconf的权限为777
- 插入一些内容到config.json文件
- 把nohup.log打包nc传了回去
- 清空nohup.out,隐藏了mach_inlt路径,并删除了原来的Tunings目录以及一些文件和历史操作记录
- 插入$d,在我的mac上是个空字符串,到几个文件中。
怀疑以上很多步骤是清空痕迹所做的操作
常见IOC
IP
103.208.32.32
132.148.245.101
URL
http://rjj.qibaxia.com/
http://sgposerverbc.com/saklfelfwoifjonsd/do/s_version
safaf4hgjdn.space:5566
http://103.208.32.32/saklfelfwoifjonsd/do/ck
http://103.208.32.32/saklfelfwoifjonsd/do/ck2
Domain
rjj.qibaxia.com
sgposerverbc.com
safaf4hgjdn.space
Hash
da032427363701c0ce44037386215aca
8ee189d1ec7d13fd6197787873ee95f5
8c8fc4623da7f38c2897cd7e0a2f9747
db03e0a8bbd0c5cc83bcc74f7527b17e
c925e754140572c73e3fe5ca952f21f9
3f842468d2ce670ee19286b9d111c6ec
019ca941abe538d9caef5b492e1eff9c
b6fe20333176e8d0622f7fd1a895f45d
reg-id
# 在运行中生成的
随机数+2991082+随机数
补充
新行为发现
/etc/sudoers文件被追加NOPASSWD标识,需要删除修改行。
Mac下门罗币矿工样本分析的更多相关文章
- Mac下一款门罗币挖矿木马的简要分析
背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三 ...
- 在Ubuntu下进行XMR Monero(门罗币)挖矿的超详细图文教程
大家都知道,最近挖矿什么的非常流行,于是我也在网上看了一些大神写的教程,以及跟一些大神请教过如何挖矿,但是网上的教程都感觉写得不够详细,于是今天我这里整理一个教程,希望能够帮到想要挖矿的朋友. 首先, ...
- Centos下挖XMR门罗币的详细教程
很多朋友都看过我之前写的Ubuntu下挖XMR门罗币的教程,也有很多朋友提出,为什么不写个Centos的教程出来,今天我在这里就写个Centos的教程,看这个教程前,大家先看看之前的教程,因为里面涉及 ...
- CentOS:xmr-stak-cpu安装,服务器CPU挖Monero门罗币
一.获取钱包地址 可以使用本地钱包地址.首先到Monero官网下载本地钱包,支持Windows 64-bit.Windows 32-bit.Mac OS X 64-bit.Linux 64-bit.L ...
- linux xorddos样本分析2
逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.
- mac下使用github
提起github相信大家都不会陌生,在这里就不再赘述了.作为开源代码库以及版本控制系统,使用好了确实会非常受益,再说的势利点,你找工作时给面试官说你经常维护自己的技术博客和github,相信你给他的印 ...
- Windows下移动硬盘无法识别但是Mac下可以识别
今天遇到一个问题,具体如下: 在Mac下正常使用的移动硬盘,在Windows下无法识别,打开显示"磁盘结构损坏且无法读取" 分析:Mac下既然能够正常使用,那么硬盘就应该是正常的, ...
- Mac下安装node.js和webpack
p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px "PingFang SC"; color: #393939 } p.p2 ...
- Android开发学习之路--MAC下Android Studio开发环境搭建
自从毕业开始到现在还没有系统地学习android应用的开发,之前一直都是做些底层的驱动,以及linux上的c开发.虽然写过几个简单的app,也对android4.0.3的源代码做过部分的分析,也算入门 ...
随机推荐
- c/c++ 代码中使用sse指令集加速
使用SSE指令,首先要了解这一类用于进行初始化加载数据以及将暂存器的数据保存到内存相关的指令, 我们知道,大多数SSE指令是使用的xmm0到xmm8的暂存器,那么使用之前,就需要将数据从内存加载到这些 ...
- spark 分析日志文件(key,value)
Spark读取日志,统计每个service所用的平均时间 发布时间:2015-12-10 9:54:15来源:分享查询网 获取log日志,每个service以“#*#”开头.统计每个service所需 ...
- [转]java的(PO,VO,TO,BO,DAO,POJO)类名包名解释
java的(PO,VO,TO,BO,DAO,POJO)类名包名解释 2015-04-28 20:11 by Loull, 18 阅读, 0 评论, 收藏, 编辑 VO:值对象.视图对象 PO:持久对象 ...
- daterangepicker日历插件使用参数注意问题
显示具体时间时分秒: timePicker设置为true,//有些资料写的pickerTime不太对 重点大坑:修改时间默认展示格式,把fomat写在locale中,网上很多资料说直接写在datera ...
- 基于bootstrap-multiselect.js的下拉框联动
背景:当option特别多时,一般的下拉框选择起来就有点力不从心了,所以使用multiselect是个很好的选择,可以通过输入文字来选择选项很方便,但是有一个需要下拉框联动,网上找了半天才找到解决方法 ...
- redis 的set数据类型
相关命令 1.SADD SADD key-name item1 [item 2…] 将一个或多个成员元素加入到集合中 2.SREM SMEMBERS key-name item1 [item 2…] ...
- 如何用BarTender 2016字处理器完成表格设计
很多时候,需要应客户要求,用BarTender 2016设计带表格的标签.在BarTender 2016中字处理器文本对象可以使用字处理中的诸多格式功能(如项目符号.编号列表.表格.混合字体以及RTF ...
- position absolute定位之所属的containing box
http://www.w3.org/TR/CSS2/visudet.html#containing-block-details http://www.zhihu.com/question/199267 ...
- c#中如何退出程序后自动重新启动程序
//触发退出程序事件 private void button1_Click(object sender, EventArgs e) { Application.E ...
- 给树莓派安装看门狗的两种方法,二代B
树莓派的CPU是保护有硬件看门狗的,可以通过安装模块和值守程序来实现看门狗防止树莓派死机. 安装方法一:watchdog.sh的源码: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 ...