威胁狩猎：追踪APT组织域名的方法与实践

1. 概述

本教学文档详细介绍了如何通过分析域名特征来追踪APT组织SideWinder的活动。文档基于对先知社区一篇技术文章的深入解析，展示了从单个域名指标出发，通过多维度关联分析最终识别出37个相关恶意域名的完整过程。

2. 初始情报获取

2.1 起点域名

初始指标：docs.mofa-services-server[.]top
关键观察：MOFA是"外交部"(Ministry of Foreign Affairs)的首字母缩写

2.2 被动DNS查询

使用工具：SilentPush
当前解析IP：188.114.97[.]3 (CloudFlare代理)
问题：CloudFlare代理导致关联分析困难，因大量无关域名共享同一IP

3. 关联分析方法

3.1 父域名分析

父域名：mofa-services-server[.]top
解析IP：91.195.240[.]123 (托管在SEDO, ASN 47846)
首次出现：2024-03-20

3.2 高级查询构建

使用以下过滤条件缩小结果范围：

IP过滤：91.195.240[.]123
TLD过滤：.top顶级域名
命名模式：三个连字符分隔的单词，正则表达式：^[a-z]{1,}\-[a-z]{1,}\-[a-z]{1,}\.top$
时间窗口：first_seen_after=2024-03-18和first_seen_before=2024-03-22

3.3 初始结果

应用过滤后得到7个相关域名，共同特征：

包含"PK"(巴基斯坦)主题
政府机构首字母缩写(如NITB、MOFA)
IT支持服务相关词汇(更新、服务器、下载、服务)

4. 数据解析技术

4.1 JSON数据处理

使用工具：CyberChef
JPath表达式：response.records[*].query提取域名字段

4.2 WHOIS记录分析

批量WHOIS查询发现：

6/7域名在NameSilo注册
注册时间集中在2024-03-19 04:09至04:11
排除异常域名luxury-get-away[.]top

5. 扩展关联分析

5.1 放宽搜索条件

调整参数扩大搜索范围：

放宽IP要求：允许任何托管在SEDO/AS47846的IP
关键词扩展：包含NITB、PK或Pakistan
放宽日期：2024-03-01之后
注册商要求：NameSilo
放宽TLD：不限于.top

5.2 新增发现

通过多次迭代发现：

政府主题变体(gov, govt, moma)
新域名如Govt-pk[.]com和moma-gov-pk[.]org
针对巴基斯坦海军(DGPS)、国家数据库(NADRA)、电信管理局(PTA)的域名

6. 子域名模式分析

6.1 潜伏策略观察

初始域名docs.mofa-services-server[.]top的子域名在父域名注册6周后出现
类似模式：pmo.documents-server-pk[.]top子域名也在父域名注册约6周后创建

6.2 识别子域名

发现15个子域名，特征：

政府主题(国防部MOD、选举委员会ECP等)
针对斯里兰卡(lk)和尼泊尔的域名
冒充合法域名(如gov-pk[.]com冒充gov[.]pk)

7. APT SideWinder归因

7.1 已知TTP匹配

根据BlackBerry和Group-IB报告，SideWinder组织特征：

目标：南亚国家(巴基斯坦、尼泊尔、斯里兰卡)
战术：冒充政府实体的域名
初始访问：政府主题的武器化文档
域名特征：连字符分隔、政府主题、子域名大量使用

7.2 武器化文档分析

发现两种攻击方式：

CVE-2017-0199利用：
- 文档示例：《GUIDELINES FOR BEACON JOURNAL - 2023 PAKISTAN NAVY WAR COLLEGE (PNWC).doc》
- 下载恶意file.rtf包含混淆JavaScript
- 新发现文档MoITT_federalemp[.]docx使用相同漏洞
密码保护ZIP文件：
- PDF文档引导下载受密码保护的.zip文件
- 密码示例：pmo@letter
- 代表战术演变，但总体策略不变

7.3 注册商关联

部分已知SideWinder域名使用NameSilo
本次发现的所有37个域名均在NameSilo注册

8. 完整IOC列表

nitb-update-services[.]top
services-pk-users[.]top
mofa-services-server[.]top
goverment-pk-update[.]top
documents-server-pk[.]top
Cabinet-download-server[.]top
amazonas-gov[.]co
cnsa-gov[.]com
dgps-govpk[.]co
dgps-govpk[.]com
ep-gov-pk[.]com
christmasep-gov-pk[.]icu
gov-govpk[.]info
Govt-pk[.]com
justice-gov[.]info
mohre-gov[.]info
moma-gov-pk[.]org
my-gov-confirm[.]org
ncsc-gov[.]com
paknavy-govpk[.]info
Update-govpk[.]co
paknavy-govpk[.]com
ctd[.]govt-pk[.]com
docs[.]mofa-services-server[.]top
ecp[.]govt-pk[.]com
embajadadenepal[.]es[.]govt-pk[.]com
investinnepal[.]gov[.]np[.]govt-pk[.]com
lgcd[.]punjab[.]gov[.]pk[.]govt-pk[.]com
mindef[.]gov[.]pk[.]govt-pk[.]com
mod[.]gov[.]bd[.]govt-pk[.]com
mod[.]gov[.]np[.]govt-pk[.]com
mofa[.]gov[.]bd[.]govt-pk[.]com
mofa[.]gov[.]np[.]govt-pk[.]com
pmo[.]documents-server-pk[.]top
prisons[.]punjab[.]govt-pk[.]com
pubad[.]gov[.]lk[.]govt-pk[.]com
sparrso[.]gov[.]bd[.]govt-pk[.]com
mail-govpk[.]com
nadra-govpk[.]com
pta-govpk[.]com
newmofa[.]org
update-govpk[.]com
od-gov-pk[.]live
pakistan-mofa[.]cloud
s3-network-pakistan[.]online

9. 方法论总结

从单个指标出发：从Twitter/X等公开情报源获取初始IOC
多维度分析：结合被动DNS、WHOIS、注册商信息、时间线等
模式识别：使用正则表达式捕捉命名规则、主题特征
工具链应用：SilentPush、CyberChef、JPath等工具组合使用
关联扩展：逐步放宽条件进行拓线分析
战术比对：与已知APT组织的TTP进行匹配验证
大胆假设，小心求证：建立假设并通过多源数据验证

10. 防御建议

监控文档中的远程模板注入(CVE-2017-0199)利用尝试
警惕带有密码保护ZIP文件的政府主题PDF
阻断IOC列表中的所有域名
对NameSilo注册的、模仿政府域名的可疑.top/.info域名保持警惕
关注南亚地区政府主题的网络钓鱼活动
实施子域名监控，特别是父域名注册6周后出现的子域名

威胁狩猎：追踪APT组织域名的方法与实践 1. 概述本教学文档详细介绍了如何通过分析域名特征来追踪APT组织SideWinder的活动。文档基于对先知社区一篇技术文章的深入解析，展示了从单个域名指标出发，通过多维度关联分析最终识别出37个相关恶意域名的完整过程。 2. 初始情报获取 2.1 起点域名初始指标： docs.mofa-services-server[.]top 关键观察：MOFA是"外交部"(Ministry of Foreign Affairs)的首字母缩写 2.2 被动DNS查询使用工具：SilentPush 当前解析IP： 188.114.97[.]3 (CloudFlare代理) 问题：CloudFlare代理导致关联分析困难，因大量无关域名共享同一IP 3. 关联分析方法 3.1 父域名分析父域名： mofa-services-server[.]top 解析IP： 91.195.240[.]123 (托管在SEDO, ASN 47846) 首次出现：2024-03-20 3.2 高级查询构建使用以下过滤条件缩小结果范围： IP过滤： 91.195.240[.]123 TLD过滤： .top 顶级域名命名模式：三个连字符分隔的单词，正则表达式： ^[a-z]{1,}\-[a-z]{1,}\-[a-z]{1,}\.top$ 时间窗口： first_seen_after=2024-03-18 和 first_seen_before=2024-03-22 3.3 初始结果应用过滤后得到7个相关域名，共同特征：包含"PK"(巴基斯坦)主题政府机构首字母缩写(如NITB、MOFA) IT支持服务相关词汇(更新、服务器、下载、服务) 4. 数据解析技术 4.1 JSON数据处理使用工具：CyberChef JPath表达式： response.records[*].query 提取域名字段 4.2 WHOIS记录分析批量WHOIS查询发现： 6/7域名在NameSilo注册注册时间集中在2024-03-19 04:09至04:11 排除异常域名 luxury-get-away[.]top 5. 扩展关联分析 5.1 放宽搜索条件调整参数扩大搜索范围：放宽IP要求：允许任何托管在SEDO/AS47846的IP 关键词扩展：包含NITB、PK或Pakistan 放宽日期：2024-03-01之后注册商要求：NameSilo 放宽TLD：不限于 .top 5.2 新增发现通过多次迭代发现：政府主题变体( gov , govt , moma ) 新域名如 Govt-pk[.]com 和 moma-gov-pk[.]org 针对巴基斯坦海军(DGPS)、国家数据库(NADRA)、电信管理局(PTA)的域名 6. 子域名模式分析 6.1 潜伏策略观察初始域名 docs.mofa-services-server[.]top 的子域名在父域名注册6周后出现类似模式： pmo.documents-server-pk[.]top 子域名也在父域名注册约6周后创建 6.2 识别子域名发现15个子域名，特征：政府主题(国防部MOD、选举委员会ECP等) 针对斯里兰卡( lk )和尼泊尔的域名冒充合法域名(如 gov-pk[.]com 冒充 gov[.]pk ) 7. APT SideWinder归因 7.1 已知TTP匹配根据BlackBerry和Group-IB报告，SideWinder组织特征：目标：南亚国家(巴基斯坦、尼泊尔、斯里兰卡) 战术：冒充政府实体的域名初始访问：政府主题的武器化文档域名特征：连字符分隔、政府主题、子域名大量使用 7.2 武器化文档分析发现两种攻击方式： CVE-2017-0199利用：文档示例：《GUIDELINES FOR BEACON JOURNAL - 2023 PAKISTAN NAVY WAR COLLEGE (PNWC).doc》下载恶意 file.rtf 包含混淆JavaScript 新发现文档 MoITT_federalemp[.]docx 使用相同漏洞密码保护ZIP文件： PDF文档引导下载受密码保护的 .zip 文件密码示例： pmo@letter 代表战术演变，但总体策略不变 7.3 注册商关联部分已知SideWinder域名使用NameSilo 本次发现的所有37个域名均在NameSilo注册 8. 完整IOC列表 9. 方法论总结从单个指标出发：从Twitter/X等公开情报源获取初始IOC 多维度分析：结合被动DNS、WHOIS、注册商信息、时间线等模式识别：使用正则表达式捕捉命名规则、主题特征工具链应用：SilentPush、CyberChef、JPath等工具组合使用关联扩展：逐步放宽条件进行拓线分析战术比对：与已知APT组织的TTP进行匹配验证大胆假设，小心求证：建立假设并通过多源数据验证 10. 防御建议监控文档中的远程模板注入(CVE-2017-0199)利用尝试警惕带有密码保护ZIP文件的政府主题PDF 阻断IOC列表中的所有域名对NameSilo注册的、模仿政府域名的可疑.top/.info域名保持警惕关注南亚地区政府主题的网络钓鱼活动实施子域名监控，特别是父域名注册6周后出现的子域名