Mac下门罗币矿工样本分析

背景



今天遇到一个JSONRPC的告警,怀疑挖矿木马,IOC是132.148.245.101,无其他信息,随即google一波。

查询网络



遇到了,主动下载样本分析,下载地址:http://rjj.qibaxia.com/
Mac下门罗币矿工样本分析
Mac下门罗币矿工样本分析
运行后会有连接IOC的流量
Mac下门罗币矿工样本分析
确认

分析结构



本质是一个zip包,里面有很多东西,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch、AutoCAD、Betterzip、Moveist等常用mac os软件其中之一,根据传参来判断。下载完会运行xsdk进程,xsdk实际上是XMRig的源程序,找到它的释放文件的目录tunings
Mac下门罗币矿工样本分析
备注:tunning中的文件使用后或者复制后(复制到/private/etc),会删除这个路径

  • periodoc.d目录主要下的查看c的版本包含两个文件(c_version和dosome):dosome是macos可执行文件,执行后判断系统C函数库版本,并写入c_version文件。
  • bbrj 检查状态,macos可执行文件,执行后会调用系统curl访问IOC站点请求状态信息(返回信息为ck2为0或ck为1)
    Mac下门罗币矿工样本分析
  • ncsys 启动xsdk等进程
  • mgo 执行下面的清理过程
  • evtconf macos可执行文件,执行后会统计挖矿程序状态,包括统计挖矿速率khash/s,cpu利用率,系统基本信息以及可接受远端指令。由于此地址dns解析已经失效,所以进程出现错误,调用khdjs来杀掉进程。
  • fc00757b9d01982
  • fc00757b9d019b9
  • firstr
  • khdjs 执行一个结束进程的操作

还有一个会被自己删除的目录mach_inlt:在ps的结果中可以看出来,里面有:

  • config.json 配置文件
  • xsdk(xmrig)挖矿文件
#./xsdk --version

Mac下门罗币矿工样本分析

查看进程


Mac下门罗币矿工样本分析
看了一下做的基本操作有mgo:

  • 修改mach_inlt的权限为777
  • 复制该目录到/private/etc下
  • 修改periodoc.的目录机子文件权限为777
  • 复制该目录到/private/etc下
  • 进入Tuning路径下,执行./firstr 到nohup.log
  • 如果有xsdk进程,kill掉。
  • 复制khdjs和evtconf到/private/etc/mach_inlt目录下
  • 进入/private/etc/mach_inlt目录,修改xsdk、khdjs、evtconf的权限为777
  • 插入一些内容到config.json文件
  • 把nohup.log打包nc传了回去
  • 清空nohup.out,隐藏了mach_inlt路径,并删除了原来的Tunings目录以及一些文件和历史操作记录
  • 插入$d,在我的mac上是个空字符串,到几个文件中。
    怀疑以上很多步骤是清空痕迹所做的操作

常见IOC



IP


103.208.32.32
132.148.245.101

URL

http://rjj.qibaxia.com/
http://sgposerverbc.com/saklfelfwoifjonsd/do/s_version
safaf4hgjdn.space:5566
http://103.208.32.32/saklfelfwoifjonsd/do/ck
http://103.208.32.32/saklfelfwoifjonsd/do/ck2

Domain


rjj.qibaxia.com
sgposerverbc.com
safaf4hgjdn.space

Hash


da032427363701c0ce44037386215aca
8ee189d1ec7d13fd6197787873ee95f5
8c8fc4623da7f38c2897cd7e0a2f9747
db03e0a8bbd0c5cc83bcc74f7527b17e
c925e754140572c73e3fe5ca952f21f9
3f842468d2ce670ee19286b9d111c6ec
019ca941abe538d9caef5b492e1eff9c
b6fe20333176e8d0622f7fd1a895f45d

reg-id


#  在运行中生成的
随机数+2991082+随机数

补充



新行为发现


/etc/sudoers文件被追加NOPASSWD标识,需要删除修改行。

Mac下门罗币矿工样本分析

上一篇:linux安装docker以及可视化管理界面


下一篇:确保多个进程同时写入同一个文件成功