苹果挖矿恶意程序处理（OSX/CoinMiner.X）

背景

近期通过流量告警发现多起外连矿池的告警，均外连至43.249.204.231

威胁情报信息如下：

系统表象

1.通过ps -ef|grep osascript发现在/library/LaunchAgents/文件下均有恶意挖矿plist文件，主要为/library/LaunchAgents/com.apple.00.plist等形式，且plist已加密。有部分MAC还会存在一个下述所示的明文指向性plist文件，其在每次开机时通过osascript来执行AppleScript脚本来运行加密后的00.plist,kaspersky可以识别。

<dict>
	<key>Label</key>
	<string>com.apple.2KR</string>
	<key>Program</key>
	<string>/usr/bin/osascript</string>
	<key>ProgramArguments</key>
	<array>
		<string>osascript</string>
		<string>-e</string>
		<string>do shell script "osascript ~/Library/LaunchAgents/com.apple.00.plist"</string>
	</array>
	<key>RunAtLoad</key>
	<true/>
	<key>StartInterval</key>
	<integer>60</integer>
	<key>WatchPaths</key>
	<array/>
</dict>

加密plist文件中的门罗币挖矿程序（截图来自该恶意程序惯用命名：ssl3.plist）

2.活动监视器无法打开
3.如果挖矿程序运行机器CPU异常、电脑异常发热、卡顿

检查与处理

需要检查的目录

通过ps -ef|grep osascript确认恶意plist所在位置进行检查，同时还需要注意如下目录：

~/Library/LaunchAgents
~/Library/Safari
~/Library/Safari/openssl/lib/
/private/etc/mach_inlt (注意其与init混淆)
/Library/LaunchDaemons（目录下plist指向/etc/ncsys）
/etc/ncsys
/etc/evtconf

其中可能在目录中发现：
不明*.plist为挖矿主程序，一般都是加密后的集成性工具，主程序支持多种虚拟货币挖掘。
pool.txt为矿池配置文件
Config.txt用于配置超时时间与钱包地址
cpu.txt 用于记录CPU使用数

处理操作

1.杀掉相关进程
2.删除相关恶意文件（尤其是第三方dmg以及非官方APP）
3.必须重装系统

IOC

43.249.204.231
budaybu.com
f1d274c8a995d8b1030c21710d1ea725  *ssl3.plist
ff1d7c07d0aa0a95e930009a38f17289 *com.apple.0V.plist
a0933446d65192ff1290f67e4dda169c *com.apple.2KR.plist
fbc709097d02187418a9709433e707b8 *com.apple.00.plist
c925e754140572c73e3fe5ca952f21f9 *com.microsoft.autorun.plist

参考

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=1240
http://www.mamicode.com/info-detail-2415920.html
https://sensorstechforum.com/osx-coinminer-detect-remove-macbook/
https://blog.csdn.net/weinierzui/article/details/98331203