Kazu010101/Threat-Intelligence

# IOC 调查 — MintsLoader / TAG-124 归因 ## 项目摘要 本项目记录了一次完整的威胁情报调查过程——从日志文件中发现的五个原始失陷指标 (IOC) 开始，最终以带置信度评级的已知威胁行为者归因记录结束。 该调查遵循与专业威胁情报实践相一致的五个阶段结构化方法论，所有发现均映射到 MITRE ATT&CK 框架。 ## 已识别的 IOC | 类型 | 指标 | |---|---| | IP 地址 | `206.188.196.37` | | 域名 | `hxxp://abgnmlahkdfnfhn[.]top` *(已防御处理)* | | URL | `hxxp://abgnmlahkdfnfhn[.]top/m9ve2kqf0rhtr.php?id=DESKTOP-ET51AJO&key=63772388458&s=mints13` *(已防御处理)* | | 文件名 | `invoice.ps1.exe` | | 文件哈希 (SHA-256) | `02d072b70efe0c6c7840e65eba05e580604ae7958cea1d39082ba120d4c4ac93` | ## 调查阶段 | 阶段 | 重点 | 关键发现 | |---|---|---| | [阶段 1](IOC-Investigation-MintsLoader/01-Phase1-Malware-Family.md) | 哈希与文件分析 | 通过 VirusTotal 确认为 MintsLoader 恶意软件家族 (30/63 检出率) | | [阶段 2](IOC-Investigation-MintsLoader/02-Phase2-C2-URL-Analysis.md) | C2 URL 模式分析 | 通过 PowerShell 源代码确认 `htr.php` 硬编码后缀 + DGA 域名 | | [阶段 3](IOC-Investigation-MintsLoader/03-Phase3-Infrastructure-WHOIS.md) | 基础设施 + WHOIS | ARIN 确认 `206.188.196.37` 属于 BLNWX — MintsLoader 的原始 C2 主机 | | [阶段 4](IOC-Investigation-MintsLoader/04-Phase4-MITRE-ATT&CK.md) | MITRE ATT&CK 映射 | 横跨 5 个战术的 15 个已确认 TTP；单个样本中包含 5 种防御规避技术 | | [阶段 5](IOC-Investigation-MintsLoader/05-Phase5-Threat-Attribution.md) | 威胁组织归因 | **TAG-124 (LandUpdate808)** — 高置信度 | ## 最终归因 ## 使用的工具 | 工具 | 用途 | |---|---| | [VirusTotal](https://www.virustotal.com) | 哈希分析、行为标签、联系的 URL | | [ARIN WHOIS](https://search.arin.net) | IP 注册及所有权查询 | | [Recorded Future](https://www.recordedfuture.com) | 威胁情报关联 | | [ThreatFox (abuse.ch)](https://threatfox.abuse.ch) | IOC 社区数据库 | | [ANY.RUN](https://any.run) | 沙箱行为分析 | | [MITRE ATT&CK](https://attack.mitre.org) | TTP 框架映射 | | [BGP.he.net](https://bgp.he.net) | ASN 和路由基础设施查询 | ## 展示的技能 - IOC 分流与防御处理 - SHA-256 哈希算法识别 - 通过 OSINT (VirusTotal, ThreatFox, ANY.RUN) 识别恶意软件家族 - C2 URL 剖析及与已发布恶意软件源代码的模式匹配 - 跨 ARIN 和 RIPE 注册中心的 WHOIS / RDAP 查询 - 黑客天堂托管基础设施追踪 - MITRE ATT&CK 技术映射及直接的 IOC 到技术证据 - 带置信度评分的多源威胁行为者归因 - 情报空白分析与竞争假设评估 ## 主要参考资料 - [Recorded Future — 揭露 MintsLoader](https://www.recordedfuture.com/research/uncovering-mintsloader-with-recorded-future-malware-intelligence-hunting) - [Recorded Future — TAG-124 TDS 基础设施](https://www.recordedfuture.com/research/tag-124-multi-layered-tds-infrastructure-extensive-user-base) - [The Hacker News — MintsLoader 投递 GhostWeaver](https://thehackernews.com/2025/05/mintsloader-drops-ghostweaver-via.html) - [Broadcom — MintsLoader 推动 TAG-124 活动](https://www.broadcom.com/support/security-center/protection-bulletin/mintsloader-the-loader-powering-tag-124-s-targeted-campaigns) - [Orange Cyberdefense — MintsLoader IOC 仓库](https://github.com/cert-orangecyberdefense/mintsloader) *本仓库中的所有 IOC 均已进行防御处理。本项目仅用于教育和作品集展示目的。*

标签：ATT&CK映射, C2服务器, DAST, DGA域名, DNS 反向解析, IOC分析, IPv6, IP 地址批量处理, LandUpdate808, MintsLoader, OpenCanary, PowerShell, TAG-124, WHOIS查询, 入侵指标, 协议探测, 威胁情报, 安全溯源, 安全调查, 开发者工具, 归属分析, 恶意软件分析, 搜索语句（dork）, 私有化部署, 网络信息收集, 网络威胁情报, 网络攻击分析, 速率限制处理, 防御规避