title:記一次Mac挖礦病毒的處置
前言
網絡安全圈一年一度的叉叉行動的前期準備過程中,在客戶現場進行失陷主機監測和處置。通過态勢感覺發現某台終端主機有每五分鐘向礦池(43.249.204.183:8888)發起一次連接配接請求的情況,态勢報挖礦行為。
但是系統運作正常,并無挖礦行為。猜測應該是中了挖礦病毒但不知道什麼原因一直連接配接不上礦池的原因吧。
排查過程
拿來機器到手,是台Mac。首先使用其本機上的“趨勢大師清除了一遍”,果然有結果:
查了ssl3.plist檔案相關的資訊,實錘了挖礦病毒程式:
尋思着使用趨勢大師直接殺掉,但是是我想多了。它隻會告訴你有這個檔案,但不會告訴你在哪,想直接檔案删除?不好意思,收費!
故展開一次從程序開始從到至尾的病毒排查和處置。
定位程序和檔案
首先使用top指令檢視電腦的運作狀态。未檢查到有ssl3.plist、ssl4.plist字樣的程式在運作。
(此處本應該有圖,但是忘記截圖拍照了)
由于态勢報每五分鐘一次請求、這裡有沒有相關程序,推測應該是沒五分鐘開啟一次程序,那麼久循環檢視占用8888端口的程序:
找到程序号5666的進行占用8888端口,根據程程序号來定位程式的檔案:
找到了檔案所在位置,檢視檔案夾相關内容内容如下:
包含了cpu.txt、pools.txt以及ssl3.plist、ssl4.plist等檔案。
删除檔案結束程序
删除病毒相關檔案。kill掉程序。(此處本該有圖,但是忘記了。)
一般情況下,開機啟動項裡面也應該會被注入相關病毒檔案,檢視開機啟動項檔案夾:
~/Library/LaunchAgents
,果然發現存在ssl3.plist、ssl4.plist字樣檔案(不好意思,又沒圖),删除掉相關檔案。
繼續監測
病毒檔案被删除了,程序被結束了。然後繼續監測8888端口程序,都沒有發現相關程序再啟動了:
于是關機在開機,監測了片刻,哪哪都正常了。
結束
物歸原主。
複盤
關于ssl3.plist、ssl4.plist
ssl3.plist、ssl4.plist 其實都是 xmr-stak-rx,xmr-stak 是一款內建了 CPU、GPU 挖礦的工具,由最初的 xmr-stak-cpu、xmr-stak-amd 和 xmr-stak-nvidia 三款內建而來,支援 64 位的 Windows、Linux 和 MacOS 系統。後面還出了 xmr-stak-rx,支援 RandomX 算法。
排查中用到的指令
top //檢視電腦運作狀态
lsof -i:port //檢視占用port端口的程序
ps aux | grep ssl //查找ssl字樣的程序
參考文章:https://www.tr0y.wang/2020/03/05/MacOS%E7%9A%84ssl4.plist%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/