作者：Zgao

通常在docker run 时可能会忘记添加必要的端口映射，但是在运行成功后，想要添加新的端口映射。网上给出的方案基本都是要先stop容器再重新commit，这种方式非常麻烦，对于没有volume挂载的容器，容器内部运行时的数据可能会丢失。

过去疫情的几年里，远程办公逐渐成为常态。企业员工需要从家中、出差途中访问公司系统，AnyDesk、TeamViewer、Todesk、向日葵等这类商业远程管理工具被大量部署。这种环境变化本身没有问题，但也客观上为攻击者提供了极好的掩护条件——只要行为看起来像“正常远程访问”，就很容易躲过粗粒度的监控。

常用的压缩包格式有zip，rar，7z这三类。一开始在处理这些压缩包时，采用的思路是直接用python封装的第三方模块如zipfile、rarfile、py7zr这些直接处理原始压缩文件。

如果只是处理几百兆的小文件，是没有任何问题，但对于几十G的压缩包效率极其低下，尤其针对不解压提取压缩包内部的文件内容的场景，一个rar的压缩包处理时长可能花费数十个小时。

本文针对压缩包清洗，花费大量时间研究。深入分析清洗数据的坑点，以及优化思路。

在日常的终端安全事件响应中，钓鱼攻击几乎是所有入侵故事的开端。所谓钓鱼攻击，本质上是一种社会工程手段。攻击者并不急于利用系统漏洞，而是通过邮件等方式诱导用户点击恶意链接，或在本地主机上执行带有恶意行为的文件，从而窃取账号信息、投递木马，甚至直接获得初始控制权限。

在实际处置事件时，我们经常发现，真正被“攻破”的并不是系统本身，而是人的判断力。

和朋友一起协同开发，需要打通双方的局域网互访，所以考虑到vpn的场景。一开始考虑frp+openvpn的实现。frp实现点对点穿透，openvpn负责组网。但是感觉这样配置较为繁琐，双方都需要部署frp和openvpn，体验不是很友好。

探索了多种方案最终选择了Zerotier，一个自带P2P打洞的vpn，同时满足需要。只需要自建一台有公网ip的moon服务器就可以高效实现各个zerotier节点之间的打洞。

近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名，后面简称0889组织。最近一次排查某云上挖矿的case，发现该组织通过jenkins RCE漏洞突破边界，内网横向后拿到主机权限后，批量下发挖矿和rootkit后门。

挖矿就没什么好说的，本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。

macOS 文件系统

macOS 目前使用的文件系统称为 Apple File System（APFS）。APFS 在 2017 年随 macOS High Sierra 引入，并取代了之前的 HFS+（Mac OS X 使用的旧文件系统）。Apple 转向 APFS 的主要原因是增强加密能力，从而提升安全性，同时在多个领域也做了改进，包括：

早期的网络通信通常通过集线器（Hub）、交换机（Switch）和路由器（Router）等设备进行转发和传输。而随着安全威胁的不断演进，网络环境也变得更加复杂，具备安全防护能力的设备逐渐成为网络架构中的重要组成部分。例如，防火墙（Firewall）、入侵检测与防御系统（IDS/IPS）、代理服务器（Proxy）以及 Web 应用防火墙（WAF）等，都在实际环境中发挥着关键作用。

对于应急响应来说，理解这些设备产生的日志至关重要。网络设备所生成的日志，本质上记录的是网络通信的轨迹。每一条日志，都是一次访问、一条连接、一次请求或一次阻断的痕迹。它们共同构成了我们还原攻击路径、判断事件性质的重要依据。