分类目录应急响应

在真实的安全运营场景中，我们往往是在“事情已经发生之后”才介入：告警触发、业务异常、用户反馈异常登录……随后启动应急响应流程。但随着攻击手段的不断演进，仅靠这种被动响应的方式，已经越来越难以应对复杂攻击。

威胁狩猎，正是在这种背景下逐渐成为安全运营体系中不可或缺的一环。

在实际的应急响应和安全事件调查中，USB 几乎永远是一个“被低估的风险点”。USB 不需要复杂的攻击链，也不依赖网络通信。它只需要一次短暂的插入，就足以完成数据拷贝、恶意程序执行，甚至规避绝大多数网络侧的安全监控。也正因为如此，在涉及数据泄露、内部威胁、可疑文件访问等场景时，USB 取证往往不是“可选项”，而是必须纳入调查范围的核心环节。

在大量真实入侵事件中，远程桌面协议（RDP）几乎已经成为攻击者进行横向移动的“标配工具”。这个最初由微软设计、用于远程系统管理和运维的协议，在现实环境中却频繁被滥用，成为内网扩散和权限放大的关键通道。

从应急响应的角度来看，RDP 的危险之处并不在于它本身有多“恶意”，而在于它太正常了。正因为企业日常运维和远程办公高度依赖 RDP，攻击者的行为很容易隐藏在合法流量和正常操作之中。

过去疫情的几年里，远程办公逐渐成为常态。企业员工需要从家中、出差途中访问公司系统，AnyDesk、TeamViewer、Todesk、向日葵等这类商业远程管理工具被大量部署。这种环境变化本身没有问题，但也客观上为攻击者提供了极好的掩护条件——只要行为看起来像“正常远程访问”，就很容易躲过粗粒度的监控。

在日常的终端安全事件响应中，钓鱼攻击几乎是所有入侵故事的开端。所谓钓鱼攻击，本质上是一种社会工程手段。攻击者并不急于利用系统漏洞，而是通过邮件等方式诱导用户点击恶意链接，或在本地主机上执行带有恶意行为的文件，从而窃取账号信息、投递木马，甚至直接获得初始控制权限。

在实际处置事件时，我们经常发现，真正被“攻破”的并不是系统本身，而是人的判断力。

近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名，后面简称0889组织。最近一次排查某云上挖矿的case，发现该组织通过jenkins RCE漏洞突破边界，内网横向后拿到主机权限后，批量下发挖矿和rootkit后门。

挖矿就没什么好说的，本文重点分析该组织的rootkit后门隐藏手法以及应急排查思路。

macOS 文件系统

macOS 目前使用的文件系统称为 Apple File System（APFS）。APFS 在 2017 年随 macOS High Sierra 引入，并取代了之前的 HFS+（Mac OS X 使用的旧文件系统）。Apple 转向 APFS 的主要原因是增强加密能力，从而提升安全性，同时在多个领域也做了改进，包括：