分类目录应急响应

近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名，后面简称0889组织。最近一次排查某云上挖矿的case，发现该组织通过jenkins RCE漏洞突破边界，内网横向后拿到主机权限后，批量下发挖矿和rootkit后门。

挖矿就没什么好说的，本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。

macOS 文件系统

macOS 目前使用的文件系统称为 Apple File System（APFS）。APFS 在 2017 年随 macOS High Sierra 引入，并取代了之前的 HFS+（Mac OS X 使用的旧文件系统）。Apple 转向 APFS 的主要原因是增强加密能力，从而提升安全性，同时在多个领域也做了改进，包括：

早期的网络通信通常通过集线器（Hub）、交换机（Switch）和路由器（Router）等设备进行转发和传输。而随着安全威胁的不断演进，网络环境也变得更加复杂，具备安全防护能力的设备逐渐成为网络架构中的重要组成部分。例如，防火墙（Firewall）、入侵检测与防御系统（IDS/IPS）、代理服务器（Proxy）以及 Web 应用防火墙（WAF）等，都在实际环境中发挥着关键作用。

对于应急响应来说，理解这些设备产生的日志至关重要。网络设备所生成的日志，本质上记录的是网络通信的轨迹。每一条日志，都是一次访问、一条连接、一次请求或一次阻断的痕迹。它们共同构成了我们还原攻击路径、判断事件性质的重要依据。

在云上应急响应和安全运营场景中，AWS S3 几乎是绕不开的核心基础设施之一。

Amazon S3（Simple Storage Service）是 AWS 提供的对象存储服务，主打高可用、高可靠、可无限扩展。从企业日志、业务数据，到备份、镜像、取证文件，很多关键数据最终都会落在 S3 上。

也正因为它“什么都能存”，一旦配置不当，S3 也是云上数据泄露、勒索攻击、取证对抗中最常被利用的点之一。

在实际的应急响应过程中，很多分析工作都会优先聚焦在主机进程、网络流量或恶意样本本身，但浏览器往往是攻击链中最容易被忽视、却信息量极大的一个环节。

浏览器取证（Browser Forensics）通过还原用户的浏览行为，分析人员可以在多种安全事件中找到关键证据，例如内部人员违规、钓鱼攻击、恶意网站访问、数据外泄等场景。

在部分真实案例中，攻击的“起点”并不是一个可疑的可执行文件，而是一次看似正常的网页访问。

在 Active Directory 环境中，Pass-the-Hash（PtH）是横向移动阶段最常见、也最难根除的技术之一。它不需要破解密码，不需要知道明文，只需要一段 NTLM 哈希，攻击者就能以目标账号的身份登录远程主机。正因为它直接复用了 Windows 认证协议的底层机制，检测和防御的难度远高于普通的账号密码攻击。

在 Active Directory 环境中，DCSync 是一种极具破坏性的凭据窃取技术。它不需要攻击者在域控上执行代码，也不需要物理接触服务器——只需一组足够高权限的域账号，就能把整个域的密码哈希”同步”走。在真实的红队行动与 APT 案例中，DCSync 几乎已经成为域内权限达顶之后的标准动作。

在 Active Directory 环境中，NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用，而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中，这类攻击往往隐藏在“看似正常的登录行为”之中，如果没有针对性的检测思路，很容易被忽略。