phishdestroy/nicenic-evidence

GitHub: phishdestroy/nicenic-evidence

该项目对域名注册商 NICENIC 的全量区域进行自动化扫描取证，识别并分类近一万九千个恶意域名，输出可直接接入 SIEM 和黑名单系统的威胁情报证据包。

Stars: 0 | Forks: 0

NICENIC Zone Scan — PhishDestroy Investigation

[![域名](https://img.shields.io/badge/Domains_Scanned-343%2C107-red?style=for-the-badge&logo=databricks&logoColor=white)](https://phishdestroy.github.io/nicenic-evidence/) [![恶意](https://img.shields.io/badge/Malicious-18%2C927_(50%25_of_alive)-critical?style=for-the-badge&logo=virustotal&logoColor=white)](https://phishdestroy.github.io/nicenic-evidence/) [![注册商](https://img.shields.io/badge/IANA_%233765-NICENIC-orange?style=for-the-badge&logo=icann&logoColor=white)](https://www.iana.org/assignments/registrar-ids/registrar-ids.xhtml) [![TLP](https://img.shields.io/badge/TLP-CLEAR-brightgreen?style=for-the-badge)](https://www.cisa.gov/tlp) [![签名](https://img.shields.io/badge/ED25519-Signed-blue?style=for-the-badge&logo=gnuprivacyguard&logoColor=white)](SHA256SUMS.txt.sig) [![许可证](https://img.shields.io/badge/License-MIT-blue?style=for-the-badge)](LICENSE) [![页面](https://img.shields.io/badge/Live_Report-GitHub_Pages-purple?style=for-the-badge&logo=github)](https://phishdestroy.github.io/nicenic-evidence/)
# NICENIC Zone 扫描 — 完整的注册商调查 **阶段 I · NICENIC INTERNATIONAL GROUP CO., LIMITED · IANA #3765** *对一家助长工业规模域名滥用行为的中国注册商的完整区域扫描*

## 目录 | 部分 | | |---|---| | [背景](#background) | 为什么调查 NICENIC，方法论概述 | | [主体](#subject) | 注册商简介 | | [范围](#scope) | Zone 构成 | | [方法论](#methodology) | 技术 pipeline | | [发现](#headline-findings) | 关键统计数据 | | [运营者集群](#operator-clusters) | 基础设施分组 | | [证据归档](#evidence-archive) | 文件与哈希值 | | [IOC Feed](#ioc-feed) | 黑名单下载 | | [执行态势](#enforcement-posture) | 谁需要采取行动 | | [仓库结构](#repository-structure) | 文件布局 | ## 背景 NICENIC INTERNATIONAL GROUP CO., LIMITED（IANA 注册商编号 #3765）是一家中国域名注册商，其滥用响应迟缓、注册政策宽松的基础设施长期以来被网络钓鱼运营者、信用卡欺诈商店、加密货币劫持者、非法赌博网络和恶意软件分发者系统性利用，并留有大量记录。尽管 NICENIC 持有的域名数量远多于接受调查的普通注册商，但这种规模本身就是一种信号：快速、廉价、匿名的大批量注册正是其产品。该注册商的 Zone 构成反映了一个为助长滥用行为而非合法托管而优化的组合。本次调查枚举了 NICENIC Zone 中的每一个域名，使用 AI 辅助分析和威胁情报交叉比对来分类内容，并发布了结构化的证据，以供执法、黑名单和 SIEM 使用。 **Pipeline：** ``` [NICENIC Zone File — 343,107 domains] │ ▼ ┌─────────────────┐ aiohttp, 600 concurrent, Googlebot UA │ Phase 1 — HTTP │ Output: lambda_results.jsonl │ Fingerprint │ └─────────────────┘ │ ▼ ┌─────────────────┐ Playwright + stealth v2, isolated context/domain │ Phase 2 — Render│ SOCKS5 pool + 2captcha (hCaptcha/Turnstile/reCAPTCHA) │ + Screenshots │ Output: deep_results.jsonl, screenshots/*.jpg └─────────────────┘ │ ▼ ┌─────────────────┐ Llama 3.1 (Groq) for content classification │ Phase 3 — AI │ Rule-based pre-filter + Groq for ambiguous cases │ Classification │ Output: enriched.csv categories + descriptions └─────────────────┘ │ ▼ ┌─────────────────┐ ipinfo.io (country + ASN per IP) │ Phase 4 — GeoIP │ Output: ip_country, ip_asn fields └─────────────────┘ │ ▼ ┌─────────────────┐ Redaction: scan-server IP, API keys, local paths │ Phase 5 — PII │ Output: clean enriched.csv, data.json, IOC feeds │ Redaction │ └─────────────────┘ ``` ## 主体 | 字段 | 值 | |---|---| | **注册商名称** | NICENIC INTERNATIONAL GROUP CO., LIMITED | | **IANA ID** | #3765 | | **管辖权** | 中国 | | **WHOIS 服务器** | `whois.nicenic.net` | | **滥用联系方式** | abuse@nicenic.net | | **Zone 大小** | 343,107 个域名（扫描日期：2026 年 6 月） | | **支持的 TLD** | 通用 TLD (gTLD) — `.com`、`.net`、`.org`、`.xyz`、`.top`、`.shop`、`.app`、`.academy` 以及其他 100 多种 | | **ICANN 认证** | 活跃 | ## 范围本次调查涵盖了截至 2026 年 6 月从公开 Zone 数据中枚举出的、所有在 NICENIC（IANA #3765）下注册的域名的**完整 Zone**。包括每一个域名——无论是存活还是已失效。 ## 方法论

阶段 1 — HTTP 指纹识别

- **工具：** Python 3.14 + `aiohttp`，600 个并发连接 - **User-Agent：** Googlebot 2.1（绕过简单的机器人拦截） - **超时：** 5 秒连接，8 秒读取 - **提取内容：** HTTP 状态码、最终 URL、服务器标头、标题、H1、meta 描述、表单字段、正文片段（前 64 KB） - **Cloudflare 检测：** 标头和正文中是否存在 `cf-ray` / `__cf_bm` - **验证码检测：** hCaptcha / reCAPTCHA / Turnstile 关键词匹配 - **输出：** `data/lambda_results.jsonl` — 每个域名一个 JSON 对象

阶段 2 — 浏览器渲染与截图

- **引擎：** Playwright 1.40 + 无头 Chromium - **隐身：** `playwright-stealth` v2 - **视口：** 1280 × 800 - **稳定延迟：** `domcontentloaded` 后 2.5 秒；遇到 Cloudflare JS 验证则额外加 5 秒 - **验证码求解：** 2captcha — hCaptcha, reCAPTCHA v2/v3, Cloudflare Turnstile - **代理池：** 2,600+ SOCKS5 出口节点，每个域名轮询 - **输出：** `docs/screenshots/.jpg` (JPEG 80%，最大宽 1280 像素)

阶段 3 — AI 分类

- **模型：** Llama 3.1 8B Instant (Groq API) - **批量大小：** 每次 Groq 调用处理 20 个域名 - **类别：** `PHISHING_FINANCE`, `PHISHING_BRAND`, `CARDING`, `CRYPTO_DRAINER`, `CRYPTO_EXCHANGE`, `GAMBLING`, `ADULT`, `MALWARE`, `SPAM_PHARMA`, `SPAM_SEO`, `PARKING`, `DEAD`, `LEGITIMATE`, `UNKNOWN` - **严重程度映射：** CRITICAL (4) — 网络钓鱼/信用卡欺诈/恶意软件；HIGH (3) — 加密货币/赌博；MEDIUM (2) — 成人内容/垃圾 SEO；LOW (1) — 未知；INFO (0) — 停放/失效/合法 - **预过滤：** 基于规则的关键词匹配在 Groq 处理前分配初始类别；Groq 负责细化不确定的情况

阶段 4 — GeoIP 丰富

- **提供商：** ipinfo.io API - **新增字段：** `ip_country`, `ip_asn` - **覆盖范围：** 所有具有解析 IP 的存活域名

## 核心发现 | 指标 | 值 | |---|---| | Zone 中的域名总数 | 343,107 | | 存活 (HTTP 200/3xx) | **37,844** (11%) | | 失效 / 停放 / 错误 | 305,263 (89%) | | CRITICAL 严重程度 | 10,377 | | HIGH 严重程度 | 7,928 | | MEDIUM 严重程度 | 622 | | 恶意 (CRITICAL+HIGH+MEDIUM) | **18,927** （占存活域名的 50.0%） | | 位于 Cloudflare 之后 | 63,190 （占存活域名的 83%） | | 已捕获截图 | 37,844 个存活域名 — 因体积原因未发布在仓库中 | | 已识别的运营者集群 | **2,939** | ## 运营者集群通过 favicon MurmurHash3 + 服务器指纹组合，共识别出 **2,939 个运营者集群**。由 3 个及以上共享相同基础设施的域名组成的集群被视为可能的运营者组。值得注意的集群： | 集群 | 域名 | 描述 | |---|---|---| | Favicon `1921725183` | 1,043 | 单一网络钓鱼运营者 — 统一的凭据收集工具包 | | IP `188.114.96.3` | 13,293 | Cloudflare 任播 — 共享出口节点上的大批域名停放 | | 信用卡欺诈基础设施 | 544 家 CC 商店 | 83% 位于 Cloudflare DDoS 保护之后 | 完整集群数据：[`data/clusters.json`](data/clusters.json) — 包含 favicon 哈希、服务器指纹、域名列表以及每个集群的类别分布。 ## 证据归档 | 文件 | 行数 | 描述 | |---|---|---| | `data/enriched.csv` | 86,114 | 完整的丰富后数据集 — 包含类别、严重程度、IP、国家/地区和 AI 描述的所有已分类域名 | | `data/high_severity.csv` | 20,480 | 筛选出的 CRITICAL+HIGH 子集 | | `data/dead_domains.csv` | — | 失效 / 停放 / 错误域名枚举 | | `data/clusters.json` | 2,939 | 运营者集群映射 — favicon 哈希 + 服务器指纹分组 | | `ioc/domains_high.txt` | 18,305 | 生产级黑名单 — CRITICAL+HIGH 域名 | | `ioc/domains_all_malicious.txt` | 18,927 | 生产级黑名单 — CRITICAL+HIGH+MEDIUM | | `ioc/indicators.csv` | 18,927 | SIEM 就绪数据：域名、IP、server_fp、favicon_mmh3、类别、严重程度 | | `docs/data.json` | — | 用于实时报告的精简版单域名数据集 | | `pkg/raw_data/lambda_results.jsonl.gz` | — | 阶段 1 的原始 HTTP 指纹输出（已压缩） | | `pkg/raw_data/enriched.csv.gz` | — | 压缩后的丰富数据集 | | `pkg/raw_data/high_severity.csv.gz` | — | 压缩后的 CRITICAL+HIGH 子集 | | `SHA256SUMS.txt` | — | 所有已发布数据文件的 SHA-256 校验和 | ## IOC Feed ``` # 高危 domain (blocklist) https://raw.githubusercontent.com/phishdestroy/nicenic-evidence/main/ioc/domains_high.txt # HIGH + MEDIUM domain https://raw.githubusercontent.com/phishdestroy/nicenic-evidence/main/ioc/domains_all_malicious.txt # SIEM 指标 (CSV) https://raw.githubusercontent.com/phishdestroy/nicenic-evidence/main/ioc/indicators.csv ``` ## 执行态势 NICENIC 受中国司法管辖。有效的执法需要多渠道施压： | 渠道 | 行动 | |---|---| | **ICANN 合同合规** | 注册商合规报告 — 未按 RAA §3.18 响应滥用报告 | | **FBI IC3** | ic3.gov — 针对美国受害者的网络钓鱼和欺诈 | | **Europol EC3** | 跨境网络犯罪移交 | | **CISA / NCSC** | 国家级威胁情报共享 | | **Spamhaus DBL** | 批量提交 HIGH 级域名 | | **URLhaus / ThreatFox** | 每日自动化 IOC feed | | **下游托管商** | Cloudflare、Fastly、AWS — 向托管提供商（而不仅是注册商）提交滥用报告 | | **品牌所有者** | Microsoft、PayPal、Amazon、Metamask — 直接 UDRP 和法律诉讼 | ICANN 的《注册商认证协议》(RAA) 第 3.18 节要求注册商在 24 小时内维护并响应滥用联系方式。有记录的不响应行为是暂停认证资格的理由。 ## 仓库结构 ``` nicenic-evidence/ ├── scan/ │ ├── phase1_http.py # aiohttp mass scanner │ ├── phase2_screenshots.py # Playwright browser scan │ ├── classify.py # Groq AI classification │ ├── fast_classify.py # Rule-based pre-filter pass │ ├── geoip_enrich.py # ipinfo.io enrichment │ ├── build_clusters.py # Favicon+fingerprint cluster analysis │ ├── build_ioc.py # IOC feed generation │ ├── build_domains_html.py # Regenerate domains.html │ ├── threat_intel.py # TI cross-reference │ ├── redact_creds.py # PII/credential redaction │ ├── finalize.py # Final pipeline step │ ├── compress_screenshots.py # PNG→JPEG compression │ ├── merge_zone.py # Zone data merge │ ├── lambda_handler.py # AWS Lambda variant │ └── invoke_all.py # Lambda orchestrator ├── docs/ │ ├── index.html # Investigation landing page (GitHub Pages) │ ├── domains.html # Searchable domain table (76,117 domains) │ ├── data.json # Slim per-domain dataset │ ├── build_datajson.py # Regenerate data.json from enriched.csv │ └── assets/ # Hero image, OG card, favicons ├── data/ │ ├── enriched.csv # Canonical enriched dataset (86,114 rows) │ ├── high_severity.csv # CRITICAL+HIGH subset (20,480 rows) │ ├── dead_domains.csv # Dead / parked enumeration │ └── clusters.json # Operator cluster map (2,939 clusters) ├── ioc/ │ ├── domains_high.txt # CRITICAL+HIGH blocklist (18,305 domains) │ ├── domains_all_malicious.txt # CRITICAL+HIGH+MEDIUM (18,927 domains) │ └── indicators.csv # SIEM-ready IOC feed (18,927 indicators) ├── pkg/ │ └── raw_data/ # Compressed raw scan output (.gz) ├── SHA256SUMS.txt # Checksums of all published data files ├── PROVENANCE.md # Chain-of-custody documentation └── README.md # This file ``` ## 相关调查 | 调查 | 注册商 | Zone 大小 | 存活 | 恶意 | 报告 | |---|---|---|---|---|---| | **Trustname / Fewmoretaps OÜ** | IANA #4318 | 7,641 | — | 1,114 HIGH | [phishdestroy.github.io/trustname-evidence](https://phishdestroy.github.io/trustname-evidence/) | | **NameSilo** | IANA #1479 | 5,269,357 | 658,733 (12.7%) | 183,419 | [phishdestroy.github.io/namesilo-evidence](https://phishdestroy.github.io/namesilo-evidence/) | | **NICENIC INTERNATIONAL GROUP** *(本仓库)* | IANA #3765 | 343,107 | 37,844 (11%) | **18,927** （占存活域名的 50%） | [phishdestroy.github.io/nicenic-evidence](https://phishdestroy.github.io/nicenic-evidence/) |

## PhishDestroy 自动化检测、分类并公开披露域名滥用基础设施。 [phishdestroy.io](https://phishdestroy.io) · [GitHub](https://github.com/phishdestroy) · TLP:CLEAR *“NICENIC 的滥用响应 SLA 实际上是无限期的——我们让它变得有限了。”* **MIT 许可证 · TLP:CLEAR · 2026 年 6 月**

标签：Sysdig, 反网络犯罪, 域名安全, 威胁情报, 安全合规审计, 开发者工具, 搜索语句（dork）, 特征检测, 逆向工具