Desert Falcons:攻击行动评估 - By nEINEI Time:2015-02-17 1) Desert Falcons 是新的APT组织,在中东地区开展工作,并在该地区开展网络间谍活动。该小组使用一系列自制恶意软件工具和技 术来执行和隐藏其在PC和移动操作系统上的活动。 2)50多个国家/地区有3000多名受害者。其中大多数发现于巴勒斯坦,埃及,以色列和约旦,但在沙特阿拉伯,阿联酋,美国,韩国, 摩洛哥,卡塔尔和其他国家都发现了其他一些。 Symptoms 相关样本信息: 003082ee859edccd104ab4cb38deb131 00eef6a2ac57e987f4750c6eff4e93d6 01f68cad955b14f4849e3796a834cd44 02ffcfdcfb205cece05597fce1b307b7 03ea5a6c095b025e111a64a32a1d1460 07f0e2104773deec4ec351af40441b84 0ee6b2296df8c7e5aabfee46baef2a08 10a2212d23f8e248b59cfbf6b809e312 12dee292c0ce4ec005f9b55ee53e2b4e 15c5c4ca7bd169cc4a1747971afe4f02 1691aca2b2209ddb76d5107da92861e7 17bfc2f4efc1031b33835ca3ec0a71fa 1b26203d329a6663dfcb286bc4702c77 最小闭合的攻击样本: 母体文件缺失,早期的钓鱼邮件,或者直接发送伪装的木马程序 Trojan:8bbad466f2257e05f66ece621ccf2056,size = 606208 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 2 (鱼叉式网络钓鱼,社会工程学) m = 3 (代码注入,特种木马,特定目标感染) p = 2 (攻击2种平台,windows/android) x = 0 (无); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 2 + 3 + 2) ^ 2 * (1) ^ 2 + (606208)/1024 = 100^2 * (1^2)+ 592 = 100+ 592 = 692 ==> 692*1000/1279625(1T攻击力单位) = 0.541T 参考引用: 1.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/08064309/The-Desert-Falcons-targeted-attacks.pdf 2.https://securelist.com/the-desert-falcons-targeted-attacks/68817/ 3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt