Lazarus APT:攻击行动评估
                - By nEINEI

Time：2016-03-13	

1) 朝鲜国家黑客组织，也被称做Hidden Cobra。该组织还针对全球其它目标实施大规模网络间谍活动，包括“特洛伊行动”（Troy Operation）、“黑暗首尔行动”（DarkSeoul Operation），(Operation Blackbuster)以及索尼影业被黑事件。

2) 通常是也被认为是2016年孟加拉国银行网络攻击事件的幕后操作者，在印度尼西亚、印度、孟加拉、马来西亚、越南、韩国、台湾地区、泰国以及其他地区都发现了被入侵服务器。

 
 
Symptoms
	Once executed, the Trojan copies itself to the following location: 
	%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\Winslui.exe

	The Trojan gathers the following information from the compromised computer: 
	Computer name
	Operating system version
	List of running programs

	Next, the Trojan sends the gathered information to the following remote location: 
	www.eye-watch.in

	The Trojan may then download and execute potentially malicious files onto the compromised computer.

相关样本信息： 
	91b2558f5319960c85522dc8e372a2b9
	cb52c013f7af0219d45953bae663c9a2
	1f7897b041a812f96f1925138ea38c46
	911de8d67af652a87415f8c0a30688b2
	1507e7a741367745425e0530e23768e6
	cb52c013f7af0219d45953bae663c9a2
	18a451d70f96a1335623b385f0993bcc
	
最小闭合的攻击样本：
    漏洞利用的母体文件缺失
    dropper :2ef2703cfc9f6858ad9527588198b1b6 size = 487424 
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼为主和水坑攻击)
	m = 10 (代码注入，特种木马,武器集合，反取证，恶意破坏，特定文件的利用，范围极广的间谍功能，横移渗透，特定目标感染，伪造特性) 
	p = 1 (攻击1种平台，windows)
	x = 2+5(0day漏洞利用能力，包含独立发现及其他共享漏洞CVE-2015-6585,CVE-2016-4117，CVE-2015-8651，CVE-2016-1019，CVE-2016-0034，N day漏洞利用);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 10 + 1) ^ 2 * (1+2+5) ^ 2 +　(487424)/1024 
	   = 15^2 * (8^2)+ 476
	   = 14400+476
	   = 14876

	  ==> 14876*1000/1279625(1T攻击力单位) = 11.625T
				
参考引用：
1.https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Report.pdf
2.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf
3.https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0
4.https://baesystemsai.blogspot.com/2016/04/two-bytes-to-951m.html
5.https://www.kaspersky.com/about/press-releases/2017_chasing-lazarus-a-hunt-for-the-infamous-hackers-to-prevent-large-bank-robberies
6.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt