背景

今天遇到一个JSONRPC的告警，怀疑挖矿木马，IOC是132.148.245.101，无其他信息，随即google一波。

查询网络

遇到了，主动下载样本分析，下载地址：http://rjj.qibaxia.com/





运行后会有连接IOC的流量



确认

分析结构

本质是一个zip包，里面有很多东西，首先会打开lauch-installer安装程序，通过运行专用下载器执行script文件，文件利用curl下载sketch、AutoCAD、Betterzip、Moveist等常用mac os软件其中之一，根据传参来判断。下载完会运行xsdk进程，xsdk实际上是XMRig的源程序，找到它的释放文件的目录tunings



备注：tunning中的文件使用后或者复制后（复制到/private/etc），会删除这个路径

• periodoc.d目录主要下的查看c的版本包含两个文件（c_version和dosome）：dosome是macos可执行文件，执行后判断系统C函数库版本，并写入c_version文件。
• bbrj 检查状态,macos可执行文件，执行后会调用系统curl访问IOC站点请求状态信息（返回信息为ck2为0或ck为1）
  
  
• ncsys 启动xsdk等进程
• mgo 执行下面的清理过程
• evtconf macos可执行文件，执行后会统计挖矿程序状态，包括统计挖矿速率khash/s，cpu利用率，系统基本信息以及可接受远端指令。由于此地址dns解析已经失效，所以进程出现错误，调用khdjs来杀掉进程。
• fc00757b9d01982
• fc00757b9d019b9
• firstr
• khdjs 执行一个结束进程的操作

还有一个会被自己删除的目录mach_inlt：在ps的结果中可以看出来，里面有：

• config.json 配置文件
• xsdk(xmrig）挖矿文件

#./xsdk --version

查看进程

看了一下做的基本操作有mgo：

• 修改mach_inlt的权限为777
• 复制该目录到/private/etc下
• 修改periodoc.的目录机子文件权限为777
• 复制该目录到/private/etc下
• 进入Tuning路径下，执行./firstr 到nohup.log
• 如果有xsdk进程，kill掉。
• 复制khdjs和evtconf到/private/etc/mach_inlt目录下
• 进入/private/etc/mach_inlt目录，修改xsdk、khdjs、evtconf的权限为777
• 插入一些内容到config.json文件
• 把nohup.log打包nc传了回去
• 清空nohup.out，隐藏了mach_inlt路径，并删除了原来的Tunings目录以及一些文件和历史操作记录
• 插入$d，在我的mac上是个空字符串，到几个文件中。
  
  怀疑以上很多步骤是清空痕迹所做的操作

常见IOC

IP

103.208.32.32

132.148.245.101

URL

http://rjj.qibaxia.com/

http://sgposerverbc.com/saklfelfwoifjonsd/do/s_version

safaf4hgjdn.space:5566

http://103.208.32.32/saklfelfwoifjonsd/do/ck

http://103.208.32.32/saklfelfwoifjonsd/do/ck2

Domain

rjj.qibaxia.com

sgposerverbc.com

safaf4hgjdn.space

Hash

da032427363701c0ce44037386215aca

8ee189d1ec7d13fd6197787873ee95f5

8c8fc4623da7f38c2897cd7e0a2f9747

db03e0a8bbd0c5cc83bcc74f7527b17e

c925e754140572c73e3fe5ca952f21f9

3f842468d2ce670ee19286b9d111c6ec

019ca941abe538d9caef5b492e1eff9c

b6fe20333176e8d0622f7fd1a895f45d

reg-id

#  在运行中生成的

随机数+2991082+随机数

补充

新行为发现

/etc/sudoers文件被追加NOPASSWD标识，需要删除修改行。