0889挖矿团伙rootkit后门溯源排查记录
近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上挖矿的case,发现该组织通过jenkins RCE漏洞突破边界,内网横向后拿到主机权限后,批量下发挖矿和rootkit后门。
挖矿就没什么好说的,本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。
阅读更多近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上挖矿的case,发现该组织通过jenkins RCE漏洞突破边界,内网横向后拿到主机权限后,批量下发挖矿和rootkit后门。
挖矿就没什么好说的,本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。
阅读更多