威胁狩猎：追踪APT组织域名的方法与实践<\/h1>

1. 概述<\/h2>
本教学文档详细介绍了如何通过分析域名特征来追踪APT组织SideWinder的活动。文档基于对先知社区一篇技术文章的深入解析，展示了从单个域名指标出发，通过多维度关联分析最终识别出37个相关恶意域名的完整过程。<\/p>

2. 初始情报获取<\/h2>

2.1 起点域名<\/h3>

初始指标：docs.mofa-services-server[.]top<\/code><\/li>
关键观察：MOFA是"外交部"(Ministry of Foreign Affairs)的首字母缩写<\/li> <\/ul> 2.2 被动DNS查询<\/h3> 使用工具：SilentPush<\/li> 当前解析IP：188.114.97[.]3<\/code> (CloudFlare代理)<\/li> 问题：CloudFlare代理导致关联分析困难，因大量无关域名共享同一IP<\/li> <\/ul> 3. 关联分析方法<\/h2> 3.1 父域名分析<\/h3> 父域名：mofa-services-server[.]top<\/code><\/li> 解析IP：91.195.240[.]123<\/code> (托管在SEDO, ASN 47846)<\/li> 首次出现：2024-03-20<\/li> <\/ul> 3.2 高级查询构建<\/h3> 使用以下过滤条件缩小结果范围：<\/p> IP过滤<\/strong>：91.195.240[.]123<\/code><\/li> TLD过滤<\/strong>：.top<\/code>顶级域名<\/li> 命名模式<\/strong>：三个连字符分隔的单词，正则表达式：^[a-z]{1,}\-[a-z]{1,}\-[a-z]{1,}\.top$<\/code><\/li> 时间窗口<\/strong>：first_seen_after=2024-03-18<\/code>和first_seen_before=2024-03-22<\/code><\/li> <\/ol> 3.3 初始结果<\/h3> 应用过滤后得到7个相关域名，共同特征：<\/p> 包含"PK"(巴基斯坦)主题<\/li> 政府机构首字母缩写(如NITB、MOFA)<\/li> IT支持服务相关词汇(更新、服务器、下载、服务)<\/li> <\/ul> 4. 数据解析技术<\/h2> 4.1 JSON数据处理<\/h3> 使用工具：CyberChef<\/li> JPath表达式：response.records[*].query<\/code>提取域名字段<\/li> <\/ul> 4.2 WHOIS记录分析<\/h3> 批量WHOIS查询发现：<\/p> 6\/7域名在NameSilo注册<\/li> 注册时间集中在2024-03-19 04:09至04:11<\/li> 排除异常域名luxury-get-away[.]top<\/code><\/li> <\/ul> 5. 扩展关联分析<\/h2> 5.1 放宽搜索条件<\/h3> 调整参数扩大搜索范围：<\/p> 放宽IP要求：允许任何托管在SEDO\/AS47846的IP<\/li> 关键词扩展：包含NITB、PK或Pakistan<\/li> 放宽日期：2024-03-01之后<\/li> 注册商要求：NameSilo<\/li> 放宽TLD：不限于.top<\/code><\/li> <\/ol> 5.2 新增发现<\/h3> 通过多次迭代发现：<\/p> 政府主题变体(gov<\/code>, govt<\/code>, moma<\/code>)<\/li> 新域名如Govt-pk[.]com<\/code>和moma-gov-pk[.]org<\/code><\/li> 针对巴基斯坦海军(DGPS)、国家数据库(NADRA)、电信管理局(PTA)的域名<\/li> <\/ul> 6. 子域名模式分析<\/h2> 6.1 潜伏策略观察<\/h3> 初始域名docs.mofa-services-server[.]top<\/code>的子域名在父域名注册6周后出现<\/li> 类似模式：pmo.documents-server-pk[.]top<\/code>子域名也在父域名注册约6周后创建<\/li> <\/ul> 6.2 识别子域名<\/h3> 发现15个子域名，特征：<\/p> 政府主题(国防部MOD、选举委员会ECP等)<\/li> 针对斯里兰卡(lk<\/code>)和尼泊尔的域名<\/li> 冒充合法域名(如gov-pk[.]com<\/code>冒充gov[.]pk<\/code>)<\/li> <\/ul> 7. APT SideWinder归因<\/h2> 7.1 已知TTP匹配<\/h3> 根据BlackBerry和Group-IB报告，SideWinder组织特征：<\/p> 目标：南亚国家(巴基斯坦、尼泊尔、斯里兰卡)<\/li> 战术：冒充政府实体的域名<\/li> 初始访问：政府主题的武器化文档<\/li> 域名特征：连字符分隔、政府主题、子域名大量使用<\/li> <\/ol> 7.2 武器化文档分析<\/h3> 发现两种攻击方式：<\/p> CVE-2017-0199利用<\/strong>：<\/p> 文档示例：《GUIDELINES FOR BEACON JOURNAL - 2023 PAKISTAN NAVY WAR COLLEGE (PNWC).doc》<\/li> 下载恶意file.rtf<\/code>包含混淆JavaScript<\/li> 新发现文档MoITT_federalemp[.]docx<\/code>使用相同漏洞<\/li> <\/ul> <\/li> 密码保护ZIP文件<\/strong>：<\/p> PDF文档引导下载受密码保护的.zip<\/code>文件<\/li> 密码示例：pmo@letter<\/code><\/li> 代表战术演变，但总体策略不变<\/li> <\/ul> <\/li> <\/ol> 7.3 注册商关联<\/h3> 部分已知SideWinder域名使用NameSilo<\/li> 本次发现的所有37个域名均在NameSilo注册<\/li> <\/ul> 8. 完整IOC列表<\/h2> nitb-update-services[.]top services-pk-users[.]top mofa-services-server[.]top goverment-pk-update[.]top documents-server-pk[.]top Cabinet-download-server[.]top amazonas-gov[.]co cnsa-gov[.]com dgps-govpk[.]co dgps-govpk[.]com ep-gov-pk[.]com christmasep-gov-pk[.]icu gov-govpk[.]info Govt-pk[.]com justice-gov[.]info mohre-gov[.]info moma-gov-pk[.]org my-gov-confirm[.]org ncsc-gov[.]com paknavy-govpk[.]info Update-govpk[.]co paknavy-govpk[.]com ctd[.]govt-pk[.]com docs[.]mofa-services-server[.]top ecp[.]govt-pk[.]com embajadadenepal[.]es[.]govt-pk[.]com investinnepal[.]gov[.]np[.]govt-pk[.]com lgcd[.]punjab[.]gov[.]pk[.]govt-pk[.]com mindef[.]gov[.]pk[.]govt-pk[.]com mod[.]gov[.]bd[.]govt-pk[.]com mod[.]gov[.]np[.]govt-pk[.]com mofa[.]gov[.]bd[.]govt-pk[.]com mofa[.]gov[.]np[.]govt-pk[.]com pmo[.]documents-server-pk[.]top prisons[.]punjab[.]govt-pk[.]com pubad[.]gov[.]lk[.]govt-pk[.]com sparrso[.]gov[.]bd[.]govt-pk[.]com mail-govpk[.]com nadra-govpk[.]com pta-govpk[.]com newmofa[.]org update-govpk[.]com od-gov-pk[.]live pakistan-mofa[.]cloud s3-network-pakistan[.]online <\/code><\/pre> 9. 方法论总结<\/h2> 从单个指标出发<\/strong>：从Twitter\/X等公开情报源获取初始IOC<\/li> 多维度分析<\/strong>：结合被动DNS、WHOIS、注册商信息、时间线等<\/li> 模式识别<\/strong>：使用正则表达式捕捉命名规则、主题特征<\/li> 工具链应用<\/strong>：SilentPush、CyberChef、JPath等工具组合使用<\/li> 关联扩展<\/strong>：逐步放宽条件进行拓线分析<\/li> 战术比对<\/strong>：与已知APT组织的TTP进行匹配验证<\/li> 大胆假设，小心求证<\/strong>：建立假设并通过多源数据验证<\/li> <\/ol> 10. 防御建议<\/h2> 监控文档中的远程模板注入(CVE-2017-0199)利用尝试<\/li> 警惕带有密码保护ZIP文件的政府主题PDF<\/li> 阻断IOC列表中的所有域名<\/li> 对NameSilo注册的、模仿政府域名的可疑.top\/.info域名保持警惕<\/li> 关注南亚地区政府主题的网络钓鱼活动<\/li> 实施子域名监控，特别是父域名注册6周后出现的子域名<\/li> <\/ol>

威胁狩猎：追踪APT组织域名的方法与实践<\/h1>

2. 初始情报获取<\/h2>

3. 关联分析方法<\/h2>

4. 数据解析技术<\/h2>

5. 扩展关联分析<\/h2>

6. 子域名模式分析<\/h2>

7. APT SideWinder归因<\/h2>