title:记一次Mac挖矿病毒的处置
前言
网络安全圈一年一度的叉叉行动的前期准备过程中,在客户现场进行失陷主机监测和处置。通过态势感知发现某台终端主机有每五分钟向矿池(43.249.204.183:8888)发起一次连接请求的情况,态势报挖矿行为。
但是系统运行正常,并无挖矿行为。猜测应该是中了挖矿病毒但不知道什么原因一直连接不上矿池的原因吧。
排查过程
拿来机器到手,是台Mac。首先使用其本机上的“趋势大师查杀了一遍”,果然有结果:
查了ssl3.plist文件相关的信息,实锤了挖矿病毒程序:
寻思着使用趋势大师直接杀掉,但是是我想多了。它只会告诉你有这个文件,但不会告诉你在哪,想直接文件删除?不好意思,收费!
故展开一次从进程开始从到至尾的病毒排查和处置。
定位进程和文件
首先使用top命令查看电脑的运行状态。未检查到有ssl3.plist、ssl4.plist字样的程序在运行。
(此处本应该有图,但是忘记截图拍照了)
由于态势报每五分钟一次请求、这里有没有相关进程,推测应该是没五分钟开启一次进程,那么久循环查看占用8888端口的进程:
找到进程号5666的进行占用8888端口,根据程进程号来定位程序的文件:
找到了文件所在位置,查看文件夹相关内容内容如下:
包含了cpu.txt、pools.txt以及ssl3.plist、ssl4.plist等文件。
删除文件结束进程
删除病毒相关文件。kill掉进程。(此处本该有图,但是忘记了。)
一般情况下,开机启动项里面也应该会被注入相关病毒文件,查看开机启动项文件夹:~/Library/LaunchAgents
,果然发现存在ssl3.plist、ssl4.plist字样文件(不好意思,又没图),删除掉相关文件。
继续监测
病毒文件被删除了,进程被结束了。然后继续监测8888端口进程,都没有发现相关进程再启动了:
于是关机在开机,监测了片刻,哪哪都正常了。
结束
物归原主。
复盘
关于ssl3.plist、ssl4.plist
ssl3.plist、ssl4.plist 其实都是 xmr-stak-rx,xmr-stak 是一款集成了 CPU、GPU 挖矿的工具,由最初的 xmr-stak-cpu、xmr-stak-amd 和 xmr-stak-nvidia 三款集成而来,支持 64 位的 Windows、Linux 和 MacOS 系统。后面还出了 xmr-stak-rx,支持 RandomX 算法。
排查中用到的指令
top //查看电脑运行状态
lsof -i:port //查看占用port端口的进程
ps aux | grep ssl //查找ssl字样的进程
参考文章:https://www.tr0y.wang/2020/03/05/MacOS%E7%9A%84ssl4.plist%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92%E6%8E%92%E6%9F%A5%E8%AE%B0%E5%BD%95/