Georbot APT:攻击行动评估
                - By nEINEI

Time：2012-09-29	

				
1) 通过水坑攻击方式来感染特定目标人群。 
2  收集格鲁吉亚,美国相关的敏感机密的安全文件，包括内阁，议会，关键信息基础设施，银行，NGO组织。
 

Symptoms
	

相关样本信息：
88ef2c99b9bbf1a28e94ca73d6e1e240
975cec4facebdd3bde765d8d08eb6f88
3802a729e39269ea4a3d28038c6ffded
b19223491c305c94ab17e783b2bf569b
f21a93bdef0c39e129a66b67be3bf96f
34c2ecf412dfa56e3248c3ab7f7d8144
1b9fa7ff25409943af6f18d10ff646ba
f8fca4dd776286f17039ae43ef1b296a
b83c92a15505a70102d78cce4d512c49
775790a2ad74a63ef1b0e28eb16c7d7b
					
最小闭合的攻击样本：

没有找到利用的母体文件，预估100k
相关的特种木马文件，4e880f91ac510c7a2465a6c1476c66872188194d，size = 39936 
				
攻击能力计算： 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (水坑攻击)
	m = 4 (代码注入，特种木马,范围极广的间谍功能，特定目标感)
	p = 1 (攻击1种平台)
	x = 2+5 (拥有非常多的1day及利用0day漏洞的能力，CVE-2010-0842，CVE-2006-3730，MS06-057);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1 + 2 + 5) ^ 2 +　(39936 /1024)+100
	   = 9^2 * (8^2)+ 139
	   = 5184 + 139
	   = 5323

	  ==> 5323*1000/1279625(1T攻击力单位) = 4.159T
				
参考引用：
1.http://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf
2.https://www.welivesecurity.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt