¿Necesita ayuda para comprender el script que se ejecuta al inicio? "Osascript -e 'le dice a la aplicación \" ARDAgent \ "que haga el script de shell \" dice quack \ "'”

1

PASOS TOMADOS

  1. Inicia sesión en Mac esta mañana
  2. Actividad notada y archivos generados que no inicié
  3. Ran bash history. Salida adjunta a continuación

AJUSTES

  1. Todo el intercambio fue desactivado
  2. No utilice ningún uso compartido de archivos o acceso remoto
  3. El firewall se configuró para bloquear todas las conexiones entrantes
  4. Red doméstica sin otros usuarios activos a la vez
  5. actualizado a Mavs 10.9.2 ayer

Por esta publicación ; SUID deshabilitado en ARDAgent con;

sudo chmod u-s \
    /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

Necesito ayuda para determinar si se trata de un proceso deshonesto, ignorable o algo que requiere más acciones por mi parte


    Administrator$ history
    1 rm -rf ~/.Trash/*
    2  cd
    3  .
    4  ./
    5  cd 
    6  lib
    7  cd/
    8    
    9  ls
   10  cd downloads
   11  ls downloads
   12  ls Downloads
   13  find / -nouser -ls
   14  find /~nouser -ls
   15  ls
   16  ls /library
   17  /LaunchAgents
   18  ls /LaunchAgents
   19  ls /Automator
   20  ls /KeyChains
   21  sha
   22  toop
   23  top
   24  dscl . -list /Users UniqueID
   25  $ dscl -plist . readall /users
   26  $ dscl . readall /users
   27  $ dscl . readall /503
   28  ls/Users
   29  - dscacheutil -q group
   30  cd
   31  cd.
   32  cd .
   33  ls
   34  ifconfig
   35  ifconfig
   36  ifconfig
   37  config helper
   38  config
   39  ls
   40  ssh XXXXXX
   41  defaults write com.google.Keystone.Agent checkInterval 0
   42  exit
   43  exit
   44  /var/log/secure.log
   45  ssh XXXXXX
   46  exit
   47  kextstat -kl | awk '!/com\.apple/{printf "%s %s\n", $6, $7}'
   48  sudo launchctl list | sed 1d | awk '!/0x|com\.(apple|openssh|vix)|edu\.mit|org\.(amavis|apache|cups|isc|ntp|postfix|x)/{print $3}'
   49  launchctl list | sed 1d | awk '!/0x|com\.apple|edu\.mit|org\.(x|openbsd)/{print $3}'
   50  ls -1A /e*/mach* {,/}L*/{Ad,Compon,Ex,Fram,In,Keyb,La,Mail/Bu,P*P,Priv,Qu,Scripti,Servi,Spo,Sta}* L*/Fonts 2> /dev/null
   51  osascript -e 'tell application "System Events" to get name of every login item' 2> /dev/null
   52  top
   53  ps
   54  top
   55  top
   56  top
   57  sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -agent -stop
   58  man who
   59  who
   60  whoami
   61  ps -aux
   62  ps
   63  top
   64  ps -eo pid,etime
   65  top
   66  ps aux | less
   67  pstree
   68  ps -eo euser,ruser,suser,fuser,f,comm,label
   69  pgrep
   70  pgrep remote
   71  apt-get install htop
   72  htop
   73  netstat -tulpn | grep :80
   74  ls -l /proc/635/exe
   75  swapon  -a
   76  ma ps
   77  man ps
   78  man ps
   79  ps -a
   80  ps -A
   81  whoami
   82  ps -f
   83  ps -G
   84  ps -g
   85  ps -T
   86  ps-t
   87  ps -v
   88  ps start
   89  top
   90  ps
   91  users
   92  last
   93  ls /var/log/wtmp*
   94  last -f /var/log/wtmp.1
   95  last -f /var/log/wtmp.0
   96  ~/.bash_history
   97  cat ~/.bash_history
   98  ls /Automator
   99  cat Automator
  100  open ~/.bash_history
  101  dscl . readall /users
  102  ls/library
  103  cd/library
  104  cd..
  105  cd
  106  ls
  107  cd Library
  108  cd/Library
  109  ls/Automator
  110  toop
  111  top
  112  ifconfig
  113  config helper
  114  config
  115  top
  116  ps -a
  117  ps -A
  118  ps -aux
  119  ps
  120  getprocessforpid(677)
  121  man ps
  122  ps -U
  123  ps -u
  124  GetProcessPID(494)
  125  GetProcessPID() q
  126  GetProcessPID494
  127  GetProcessPID 494
  128  netstat -b
  129  top
  130  top
  131  top
  132  netstat -a
  133  netstat -a | grep vnc | grep ESTABLISHED
  134  top
  135  netstat -a
  136  top
  137  top
  138  netstat -a
  139  ps -aux
  140  netstat -a | grep vnc | grep ESTABLISHED
  141  ps -aux
  142  ps -A
  143  ps -A
  144  netstat -a | grep vnc | grep ESTABLISHED
  145  netstat -a
  146  top
  147  top
  148  netstat -a
  149  netstat -a
  150  netstat -a
  151  q
  152  top
  153  top
  154  sudo tmutil disablelocal
  155  exit
  156  top
  157  top
  158  top
  159  top
  160  top
  161  top
  162  neststat -n
  163  netstat -n
  164  netstat -n
  165  ls
  166  lsaf
  167  cd ..
  168  cd ..
  169  cd ..
  170  cd ..
  171  ls
  172  top
  173  netstat
  174  dscl . list/users
  175  cd ~
  176  dscl . list/users
  177  dscl . list /users
  178  dscl . list /groups
  179  dscl . readall /users
  180  netstat
  181  netstat
  182  whoami
  183  ls
  184  cd ..
  185  cd ..
  186  cd .
  187  cd ..
  188  ls
  189  tree
  190  cd Users
  191  ls
  192  cd Administrator
  193  ls
  194  cd ..
  195  cd ..
  196  cd ..
  197  ls
  198  cd Users
  199  ls
  200  cd Adminstrator
  201  cd Administrator
  202  ls
  203  cd Downloads
  204  ls
  205  exit
  206  whoami
  207  ls
  208  ls
  209  cd Library
  210  ls
  211  cd Application Support
  212  ls
  213  cd ..
  214  ls
  215  cd ..
  216  ls
  217  cd peterobrien
  218  ls
  219  cd Library
  220  whoami
  221  sudo - Adminsitrator
  222  ls
  223  ls
  224  sudo -
  225  more /etc/hosts
  226  scc ver
  227  scc numprofiles
  228  netstat -an |find /i "listening"
  229  netstat
  230  top
  231  kextstat -kl | awk '!/com\.apple/{printf "%s %s\n", $6, $7}'
  232  sudo launchctl list | sed 1d | awk '!/0x|com\.(apple|openssh|vix)|edu\.mit|org\.(amavis|apache|cups|isc|ntp|postfix|x)/{print $3}'
  233  launchctl list | sed 1d | awk '!/0x|com\.apple|edu\.mit|org\.(x|openbsd)/{print $3}'
  234  ls -1A /e*/mach* {,/}L*/{Ad,Compon,Ex,Fram,In,Keyb,La,Mail/Bu,P*P,Priv,Qu,Scripti,Servi,Spo,Sta}* L*/Fonts 2> /dev/null
  235  osascript -e 'tell application "System Events" to get name of every login item' 2> /dev/null
  236  osascript -e 'tell application "System Events" to get name of every login item' 2> /dev/null
  237  top
  238  dscacheutil -flushcache
  239  sudo killall -HUP mDNSResponder
  240  top
  241  ./bitcoin-qt
  242  cd $home
  243  ls
  244  cd ..
  245  cd ..
  246  cd ..
  247  ls
  248  cd Applications
  249  ls
  250  ./bitcoin-qt.app
  251  top
  252  ps -420
  253  ps -9541
  254  top
  255  /Applications/Postgres93.app/Contents/MacOS/bin/psql ; exit;
  256  /Applications/Postgres93.app/Contents/MacOS/bin/psql ; exit;
  257  top
  258  ps -a (2077)
  259  ps -a2077
  260  sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.metadata.mds.plist
  261  top
  262  on run
  263  do shell script "osascript -e 'tell app \"ARDAgent\" to do shell script \"say quack\"'"
  264  end run
  265  ls -ls /System/Library/Filesystems/AppleShare/check_afp.app/Contents/MacOS/check_afp 2
  266  sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.metadata.mds.plist

END

    
pregunta POB 28.02.2014 - 05:35

2 respuestas

1

Parece que su Mac ha sido comprometida (en el momento de su escritura) para extraer bitcoins ( ./bitcoin-qt.app ) probablemente al usar vulnerabilidad de ADAgent o similar. Los comandos publicados son bastante avanzados, sin embargo, muchos de ellos son comandos de copiar y pegar que indican algunos pseudo-hackers (con muy poco conocimiento) que intentan instalar troyanos en su sistema.

Encuentra la explicación de los comandos de historial a continuación:

  • 1 : Se eliminan archivos de la Papelera. Tal vez borrando alguna evidencia después de descargar algo.
  • 2-12 : Accediendo a la carpeta de descargas con un poco de problema. La mitad de estos comandos están mal escritos, por lo que tal vez la persona tenía prisa o estaba estresada.
  • 13-14 : encontrar todos los archivos que pertenecen a un usuario desconocido (por una razón desconocida).
  • 15-20 : Lucha para acceder a sus contraseñas en KeyChains, pero la mayoría de los comandos están mal escritos. Esto indica muy poco conocimiento sobre cómo usar los comandos básicos del shell. Parece que intenta acceder a carpetas como /Library/LaunchAgents , /Library/Automator , /Library/Keychains , pero falla.
  • 21 : no hay comando sha .
  • 22-23 : Luchando para ver sus procesos.
  • 24-29 : Luchando para verificar a todos los usuarios del sistema, sin embargo, el intérprete de comandos del shell presente en 25-27 indica que estos comandos se copiaron y pegaron de algún tutorial de hackeo.
  • 34-39 : Comprobando la configuración de la red.
  • 41 : deshabilitar las actualizaciones automáticas de las aplicaciones de Google.
  • 40 , 45 : iniciar sesión en el host remoto.
  • 47 : revisando las extensiones del kernel que no son de Apple.
  • 48-49 : verificando los trabajos cargados que no son de Apple. Repetir el mismo comando sin sudo podría indicar que el usuario no tuvo acceso de root.
  • 51 : Comprobando elementos de inicio.
  • 57 : Deshabilitando el agente de escritorio remoto. ¿Por qué?
  • 71-72 : ¿Cómo logró instalar htop usando apt-get en OS X? No lo sé.
  • 73-164 : verificación de procesos, lo que se escucha en el puerto 80 y el historial de los últimos inicios de sesión.
  • 165-225 : revisando sus usuarios y archivos nuevamente.
  • 228 : indica que la persona pertenece al fondo de Windows, ya que el parámetro /i no es válido.
  • 226-237 : repitiendo las mismas cosas una y otra vez.
  • 238-480 : Borrado de cachés de DNS.
  • 241-259 : ejecutando el cliente Bitcoin.
  • 263-264 : pegar código en una ventana incorrecta. En realidad debería ser:

    osascript -e 'tell app "ARDAgent" to do shell script "say quack"'
    

    Que básicamente en la ejecución exitosa de ARDAgent ejecutaría el comando say quack que básicamente dice en voz alta "quack". Esto supone que debe probarse si ARDAgent es vulnerable a los ataques, pero las pruebas mediante el uso de Speech Synthesis es lo peor que puede hacer un pirata informático, porque el usuario escuchará eso y descubrirá que algo está mal.

  • 265 : probando si check_afp es vulnerable al tener el indicador SUID.

Su acción fue correcta al deshabilitar SUID para ARDAgent . Cuando ejecute la Utilidad de Disco y el Permiso de Reparación, restaurará automáticamente los permisos correctos (incluido ARDAgent ), a menos que se haya modificado modificado . La otra cosa es mantener su sistema actualizado y monitorear los registros e historial con más frecuencia.

    
respondido por el kenorb 23.05.2015 - 16:51
0

No estoy muy claro exactamente qué está sucediendo. Menciona algo acerca de un script que se ejecuta al inicio en su tema, pero nunca lo menciona nuevamente. ¿Que esta pasando ahí? ¿Dónde estás encontrando ese guión?

Ese guión sugeriría que alguien juegue una broma contigo, haciendo que tu computadora diga "quack" cada vez que comiences. Eso no es indicativo de malware.

Por otro lado, un archivo oculto como lo describe es un truco de malware común, aunque no estoy seguro de por qué solo contendría "--purge"; no es un comando completo, que yo sepa. , y el comando de purga no es probable que se use con propósitos maliciosos de todos modos.

Aún así, tiene algunos indicios de que está utilizando aplicaciones relacionadas con Bitcoin, y ha habido algunos malware de Bitcoin que han aparecido recientemente. Ver:

Se descubrió un nuevo malware CoinThief

Tenga en cuenta que la publicación en MacRumors a la que hace referencia en su segunda publicación tiene casi seis años y hace referencia a una vulnerabilidad que se cerró a fines de 2008. Es completamente irrelevante para cualquier sistema moderno.

Publicado por: thomas_r en Apple Support Communities

    
respondido por el kenorb 23.05.2015 - 16:52

Lea otras preguntas en las etiquetas