背景

今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波。

查询网络

遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/





运行后会有连接IOC的流量



确认

分析结构

本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch、AutoCAD、Betterzip、Moveist等常用mac os软件其中之一,根据传参来判断。下载完会运行xsdk进程,xsdk实际上是XMRig的源程序,找到它的释放文件的目录tunings



备注:tunning中的文件使用后或者复制后(复制到/private/etc),会删除这个路径

  • periodoc.d目录主要下的查看c的版本包含两个文件(c_version和dosome):dosome是macos可执行文件,执行后判断系统C函数库版本,并写入c_version文件。
  • bbrj 检查状态,macos可执行文件,执行后会调用系统curl访问IOC站点请求状态信息(返回信息为ck2为0或ck为1)

  • ncsys 启动xsdk等进程
  • mgo 执行下面的清理过程
  • evtconf macos可执行文件,执行后会统计挖矿程序状态,包括统计挖矿速率khash/s,cpu利用率,系统基本信息以及可接受远端指令。由于此地址dns解析已经失效,所以进程出现错误,调用khdjs来杀掉进程。
  • fc00757b9d01982
  • fc00757b9d019b9
  • firstr
  • khdjs 执行一个结束进程的操作

还有一个会被自己删除的目录mach_inlt:在ps的结果中可以看出来,里面有:

  • config.json 配置文件
  • xsdk(xmrig)挖矿文件
#./xsdk --version

查看进程



看了一下做的基本操作有mgo:

  • 修改mach_inlt的权限为777
  • 复制该目录到/private/etc下
  • 修改periodoc.的目录机子文件权限为777
  • 复制该目录到/private/etc下
  • 进入Tuning路径下,执行./firstr 到nohup.log
  • 如果有xsdk进程,kill掉。
  • 复制khdjs和evtconf到/private/etc/mach_inlt目录下
  • 进入/private/etc/mach_inlt目录,修改xsdk、khdjs、evtconf的权限为777
  • 插入一些内容到config.json文件
  • 把nohup.log打包nc传了回去
  • 清空nohup.out,隐藏了mach_inlt路径,并删除了原来的Tunings目录以及一些文件和历史操作记录
  • 插入$d,在我的mac上是个空字符串,到几个文件中。

    怀疑以上很多步骤是清空痕迹所做的操作

常见IOC

IP

103.208.32.32

132.148.245.101

URL

http://rjj.qibaxia.com/

http://sgposerverbc.com/saklfelfwoifjonsd/do/s_version

safaf4hgjdn.space:5566

http://103.208.32.32/saklfelfwoifjonsd/do/ck

http://103.208.32.32/saklfelfwoifjonsd/do/ck2

Domain

rjj.qibaxia.com

sgposerverbc.com

safaf4hgjdn.space

Hash

da032427363701c0ce44037386215aca

8ee189d1ec7d13fd6197787873ee95f5

8c8fc4623da7f38c2897cd7e0a2f9747

db03e0a8bbd0c5cc83bcc74f7527b17e

c925e754140572c73e3fe5ca952f21f9

3f842468d2ce670ee19286b9d111c6ec

019ca941abe538d9caef5b492e1eff9c

b6fe20333176e8d0622f7fd1a895f45d

reg-id

#  在运行中生成的

随机数+2991082+随机数

补充

新行为发现

/etc/sudoers文件被追加NOPASSWD标识,需要删除修改行。

Mac下门罗币矿工样本分析的更多相关文章

  1. Mac下一款门罗币挖矿木马的简要分析

    背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三 ...

  2. 在Ubuntu下进行XMR Monero(门罗币)挖矿的超详细图文教程

    大家都知道,最近挖矿什么的非常流行,于是我也在网上看了一些大神写的教程,以及跟一些大神请教过如何挖矿,但是网上的教程都感觉写得不够详细,于是今天我这里整理一个教程,希望能够帮到想要挖矿的朋友. 首先, ...

  3. Centos下挖XMR门罗币的详细教程

    很多朋友都看过我之前写的Ubuntu下挖XMR门罗币的教程,也有很多朋友提出,为什么不写个Centos的教程出来,今天我在这里就写个Centos的教程,看这个教程前,大家先看看之前的教程,因为里面涉及 ...

  4. CentOS:xmr-stak-cpu安装,服务器CPU挖Monero门罗币

    一.获取钱包地址 可以使用本地钱包地址.首先到Monero官网下载本地钱包,支持Windows 64-bit.Windows 32-bit.Mac OS X 64-bit.Linux 64-bit.L ...

  5. linux xorddos样本分析2

    逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.

  6. mac下使用github

    提起github相信大家都不会陌生,在这里就不再赘述了.作为开源代码库以及版本控制系统,使用好了确实会非常受益,再说的势利点,你找工作时给面试官说你经常维护自己的技术博客和github,相信你给他的印 ...

  7. Windows下移动硬盘无法识别但是Mac下可以识别

    今天遇到一个问题,具体如下: 在Mac下正常使用的移动硬盘,在Windows下无法识别,打开显示"磁盘结构损坏且无法读取" 分析:Mac下既然能够正常使用,那么硬盘就应该是正常的, ...

  8. Mac下安装node.js和webpack

    p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px "PingFang SC"; color: #393939 } p.p2 ...

  9. Android开发学习之路--MAC下Android Studio开发环境搭建

    自从毕业开始到现在还没有系统地学习android应用的开发,之前一直都是做些底层的驱动,以及linux上的c开发.虽然写过几个简单的app,也对android4.0.3的源代码做过部分的分析,也算入门 ...

随机推荐

  1. spring 配置 Java配置类装配bean

    https://www.cnblogs.com/chenbenbuyi/p/8457700.html 自动化装配的确有很大的便利性,但是却并不能适用在所有的应用场景,比如需要装配的组件类不是由自己的应 ...

  2. lakala GradientBoostedTrees

    /** * Created by lkl on 2017/12/6. */ import org.apache.spark.mllib.evaluation.BinaryClassificationM ...

  3. 软件设计模式之单例模式(JAVA)

    什么是单例模式? 单例模式是一种常用的软件设计模式.在它的核心结构中只包含一个被称为单例类的特殊类.通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系 ...

  4. NSNull, Nil, nil, NULL区别(OC)

    参考:http://nshipster.com/nil/ 直接给个表吧 Symbol Value Meaning NULL (void *)0 literal null value for C poi ...

  5. Android学习之——ListView下拉刷新

    背景知识 ListView使用非常广泛,对于使用ListView的应用来说,下拉刷新是必不可少要实现的功能. 我们常用的微博.网易新闻,搜狐新闻都使用了这一功能,如下图所示.     微博 搜狐新闻 ...

  6. Window 10 :我的性能优化:那效果,杠杠的!

    微软的 windows 10,不错! 当全新安装后,性能总觉得别别扭扭,不那么干净利落. 下面就是我的个人优化措施,期间有很多技术性的操作,如果你没有动手能力,或者是技术小白,可以不用再看了! (1) ...

  7. mysql中json_object函数的使用?

    需求说明: 今天看了json_object函数的使用,在此记录下使用过程 操作过程: 1.使用json_object函数将一个键值对列表转换成json对象 mysql> select json_ ...

  8. 基于jQuery的tooltips插件--poshytip

    摘要: 分享一款在项目中使用的tooltips插件--poshytip,这是一款基于jQuery的插件,其特点是简单易用,支持浏览器:IE6+, FF 2+, Opera 9+, Safari 3+, ...

  9. 【代码审计】EasySNS_V1.6 前台任意文件下载漏洞分析

      0x00 环境准备 EasySNS官网:http://www.imzaker.com/ 网站源码版本:EasySNS极简社区V1.60 程序源码下载:http://es.imzaker.com/i ...

  10. linux 停止对某个端口的监听

    1.通过"netstat -anp" 来查看哪些端口被打开. 2.关掉对应的应用程序,则端口就自然关闭了,如:"kill -9 PID" (PID:进程号)