Hellsing APT:攻击行动评估 - By nEINEI Time:2015-04-15 1) 该组织规模较小,在技术方面也并不突出,其主要针对亚洲政府机构和外交机构进行攻击,目标包括马来西亚、菲律宾、印度、 印度尼西亚和美国。 2) 因同Naikon APT组织进行反击战而闻名,被称之为少见的APT组织之间的战争。 Symptoms Filenames: %systemroot%\system32\irmon32.dll %systemroot%\system32\FastUserSwitchingCompatibilityex.dll %systemroot%\system32\inetinfo32.dll %systemroot%\system32\drivers\drivers\diskfilter.sys %systemroot%\system32\usbcon.exe %windir%\temp\xKat.exe %systemroot%\system32\drivers\drivers\usbmgr.sys %appdata%\Microsoft\MMC\mmc.exe %systemroot%\system32\Iasex.dll %systemroot%\system32\Ipripex.dll %windir%\temp\mm_server.exe %windir%\temp\sys.exe %windir%\temp\test.exe 相关样本信息: 198fc1af5cd278091f36645a77c18ffa 015915BBFCDA1B2B884DB87262970A11 036E021E1B7F61CDDFD294F791DE7EA2 04090aca47f5360b84f6a55033544863 055BC765A78DA9CC759D1BA7AC7AC05E 085FAAC21114C844529E11422EF684D1 0BA116AA1704A415812552A815FCD34B 0CBEFD8CD4B9A36C791D926F84F10B7B 0CC5918D426CD836C52207A8332296BC 0dfcbb858bd2d5fb1d33cd69dcd844ae 0F13DEAC7D2C1A971F98C9365B071DB9 0FFE80AF4461C68D6571BEDE9527CF74 13EF0DFE608440EE60449E4300AE9324 14309b52f5a3df8cb0eb5b6dae9ce4da 17EF094043761A917BA129280618C1D3 2682A1246199A18967C98CB32191230C 2CCE768DC3717E86C5D626ED7CE2E0B7 3032F4C7A6E4E807DD7B012FA4B43718 31B3CC60DBECB653AE972DB9E57E14EC 3A40E0DEB14F821516EADAED24301335 3de2a22babb69e480db11c3c15197586 4DBFD37FD851DAEBDAE7F009ADEC3CBD 4F19D5D2C04B6FC05E56C6A48FD9CB50 最小闭合的攻击样本: 母体文件缺失,早期的钓鱼邮件,或者直接发送伪装的木马程序,预估计100k Trojan:198fc1af5cd278091f36645a77c18ffa,size = 69120 横移工具:14309b52f5a3df8cb0eb5b6dae9ce4da,size = 45568 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1(鱼叉式网络钓鱼) m = 5 (代码注入,rootkit,渗透横移,特种木马,特定目标感染) -- 注:早期该组织使用过rootkit技术,后续停用了。 p = 1 (攻击1种平台,windows) x = 0 (无); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 5 + 1) ^ 2 * (1) ^ 2 + (69120+45568)/1024 +100 = 10^2 * (1^2)+ 212 = 100 + 212 = 312 ==> 312 *1000/1279625(1T攻击力单位) = 0.243T 参考引用: 1.http://securelist.com/analysis/publications/69567/the-chronicles-of-the-hellsing-apt-the-empire-strikes-back/ 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt