0889挖矿团伙rootkit后门溯源排查记录
近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上挖矿的case,发现该组织通过jenkins RCE漏洞突破边界,内网横向后拿到主机权限后,批量下发挖矿和rootkit后门。
挖矿就没什么好说的,本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。
阅读更多Macos 应急响应取证基础
macOS 文件系统
macOS 目前使用的文件系统称为 Apple File System(APFS)。APFS 在 2017 年随 macOS High Sierra 引入,并取代了之前的 HFS+(Mac OS X 使用的旧文件系统)。Apple 转向 APFS 的主要原因是增强加密能力,从而提升安全性,同时在多个领域也做了改进,包括:
阅读更多应急响应中常见的几种网络日志分析
早期的网络通信通常通过集线器(Hub)、交换机(Switch)和路由器(Router)等设备进行转发和传输。而随着安全威胁的不断演进,网络环境也变得更加复杂,具备安全防护能力的设备逐渐成为网络架构中的重要组成部分。例如,防火墙(Firewall)、入侵检测与防御系统(IDS/IPS)、代理服务器(Proxy)以及 Web 应用防火墙(WAF)等,都在实际环境中发挥着关键作用。
对于应急响应来说,理解这些设备产生的日志至关重要。网络设备所生成的日志,本质上记录的是网络通信的轨迹。每一条日志,都是一次访问、一条连接、一次请求或一次阻断的痕迹。它们共同构成了我们还原攻击路径、判断事件性质的重要依据。
阅读更多