背景

今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波。

查询网络

遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/





运行后会有连接IOC的流量



确认

分析结构

本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch、AutoCAD、Betterzip、Moveist等常用mac os软件其中之一,根据传参来判断。下载完会运行xsdk进程,xsdk实际上是XMRig的源程序,找到它的释放文件的目录tunings



备注:tunning中的文件使用后或者复制后(复制到/private/etc),会删除这个路径

  • periodoc.d目录主要下的查看c的版本包含两个文件(c_version和dosome):dosome是macos可执行文件,执行后判断系统C函数库版本,并写入c_version文件。
  • bbrj 检查状态,macos可执行文件,执行后会调用系统curl访问IOC站点请求状态信息(返回信息为ck2为0或ck为1)

  • ncsys 启动xsdk等进程
  • mgo 执行下面的清理过程
  • evtconf macos可执行文件,执行后会统计挖矿程序状态,包括统计挖矿速率khash/s,cpu利用率,系统基本信息以及可接受远端指令。由于此地址dns解析已经失效,所以进程出现错误,调用khdjs来杀掉进程。
  • fc00757b9d01982
  • fc00757b9d019b9
  • firstr
  • khdjs 执行一个结束进程的操作

还有一个会被自己删除的目录mach_inlt:在ps的结果中可以看出来,里面有:

  • config.json 配置文件
  • xsdk(xmrig)挖矿文件
#./xsdk --version

查看进程



看了一下做的基本操作有mgo:

  • 修改mach_inlt的权限为777
  • 复制该目录到/private/etc下
  • 修改periodoc.的目录机子文件权限为777
  • 复制该目录到/private/etc下
  • 进入Tuning路径下,执行./firstr 到nohup.log
  • 如果有xsdk进程,kill掉。
  • 复制khdjs和evtconf到/private/etc/mach_inlt目录下
  • 进入/private/etc/mach_inlt目录,修改xsdk、khdjs、evtconf的权限为777
  • 插入一些内容到config.json文件
  • 把nohup.log打包nc传了回去
  • 清空nohup.out,隐藏了mach_inlt路径,并删除了原来的Tunings目录以及一些文件和历史操作记录
  • 插入$d,在我的mac上是个空字符串,到几个文件中。

    怀疑以上很多步骤是清空痕迹所做的操作

常见IOC

IP

103.208.32.32

132.148.245.101

URL

http://rjj.qibaxia.com/

http://sgposerverbc.com/saklfelfwoifjonsd/do/s_version

safaf4hgjdn.space:5566

http://103.208.32.32/saklfelfwoifjonsd/do/ck

http://103.208.32.32/saklfelfwoifjonsd/do/ck2

Domain

rjj.qibaxia.com

sgposerverbc.com

safaf4hgjdn.space

Hash

da032427363701c0ce44037386215aca

8ee189d1ec7d13fd6197787873ee95f5

8c8fc4623da7f38c2897cd7e0a2f9747

db03e0a8bbd0c5cc83bcc74f7527b17e

c925e754140572c73e3fe5ca952f21f9

3f842468d2ce670ee19286b9d111c6ec

019ca941abe538d9caef5b492e1eff9c

b6fe20333176e8d0622f7fd1a895f45d

reg-id

#  在运行中生成的

随机数+2991082+随机数

补充

新行为发现

/etc/sudoers文件被追加NOPASSWD标识,需要删除修改行。

Mac下门罗币矿工样本分析的更多相关文章

  1. Mac下一款门罗币挖矿木马的简要分析

    背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三 ...

  2. 在Ubuntu下进行XMR Monero(门罗币)挖矿的超详细图文教程

    大家都知道,最近挖矿什么的非常流行,于是我也在网上看了一些大神写的教程,以及跟一些大神请教过如何挖矿,但是网上的教程都感觉写得不够详细,于是今天我这里整理一个教程,希望能够帮到想要挖矿的朋友. 首先, ...

  3. Centos下挖XMR门罗币的详细教程

    很多朋友都看过我之前写的Ubuntu下挖XMR门罗币的教程,也有很多朋友提出,为什么不写个Centos的教程出来,今天我在这里就写个Centos的教程,看这个教程前,大家先看看之前的教程,因为里面涉及 ...

  4. CentOS:xmr-stak-cpu安装,服务器CPU挖Monero门罗币

    一.获取钱包地址 可以使用本地钱包地址.首先到Monero官网下载本地钱包,支持Windows 64-bit.Windows 32-bit.Mac OS X 64-bit.Linux 64-bit.L ...

  5. linux xorddos样本分析2

    逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.

  6. mac下使用github

    提起github相信大家都不会陌生,在这里就不再赘述了.作为开源代码库以及版本控制系统,使用好了确实会非常受益,再说的势利点,你找工作时给面试官说你经常维护自己的技术博客和github,相信你给他的印 ...

  7. Windows下移动硬盘无法识别但是Mac下可以识别

    今天遇到一个问题,具体如下: 在Mac下正常使用的移动硬盘,在Windows下无法识别,打开显示"磁盘结构损坏且无法读取" 分析:Mac下既然能够正常使用,那么硬盘就应该是正常的, ...

  8. Mac下安装node.js和webpack

    p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px "PingFang SC"; color: #393939 } p.p2 ...

  9. Android开发学习之路--MAC下Android Studio开发环境搭建

    自从毕业开始到现在还没有系统地学习android应用的开发,之前一直都是做些底层的驱动,以及linux上的c开发.虽然写过几个简单的app,也对android4.0.3的源代码做过部分的分析,也算入门 ...

随机推荐

  1. springboot-mybatis-plus基本项目框架

    此仅仅为web最基本框架, 统一异常管理.接口统一日志管理. 项目结构: 注: 修改为如下图,作用是sql打印输出. 源码下载:https://files.cnblogs.com/files/007s ...

  2. UNIX环境编程学习笔记(22)——进程管理之system 函数执行命令行字符串

    lienhua342014-10-15 ISO C 定义了 system 函数,用于在程序中执行一个命令字符串.其声明如下, #include <stdlib.h> int system( ...

  3. VC获取物理网卡的MAC地址

    获取网卡的MAC地址的方法很多,如:Netbios,SNMP,GetAdaptersInfo等.经过测试发现 Netbios 方法在网线拔出的情况下获取不到MAC,而 SNMP 方法有时会获取多个重复 ...

  4. jquery组件WebUploader文件上传用法详解

    这篇文章主要为大家详细介绍了jquery组件WebUploader文件上传用法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 WebUploader是由Baidu WebFE(FEX)团队开发的一 ...

  5. Java输出错误信息与调试信息

    创建一个类,在该类的main()主方法中,使用System类中的out和err两个成员变量来完成调试与错误信息的输出. public class PrintErrorAndDebug { public ...

  6. 8 -- 深入使用Spring -- 2...4 使用@PostConstruct和@PreDestroy定制生命周期行为

    8.2.4 使用@PostConstruct和@PreDestroy定制生命周期行为 @PostConstruct 和 @PreDestroy 同样位于javax.annotation 包下,也是来自 ...

  7. 用XYNTService把Python程序变为服务

    1. XYNTService的使用 1.1. 介绍 1.2. XYNTService 2. 用XYNTService把Python程序变为服务 1. XYNTService的使用 1.1. 介绍 通常 ...

  8. zabbix中Templates的jmx相关key调试方法

    1.下载 cmdline jmxclient 如果你有一个完美的模版,你可能可以忽略此步.但是大多数情况下你没有.况且 zabbix 默认的 tomcat 模版也不能很好的工作.这时候有一个工具来调试 ...

  9. Android开发-- findViewById()方法得到空指针

    如果想通过调用findViewById()方法获取到相应的控件,必须要求当前Activity的layout通过setContentView. 如果你通过其他方法添加了一个layout,如需获取这个la ...

  10. Splash 简介与安装

    Splash 说白了就是一个轻量级的浏览器,利用它,我们同样可以实现跟其他浏览器一样的操作,我们使用 Docker 来安装 Splash: [root@localhost ~]# docker run ...