Lotus Blossom:攻击行动评估
                - By nEINEI

Time：2015-12-18	

1) Lotus Blossom主要针对东南亚个国的政府机构与军事单位，主要使用Emissary，Elise后门。

2) 在15年的11月被发现涉及向中国台湾省台北市的一位法国外交官发送一封鱼叉式网络钓鱼邮件，更进一步确信，很可能是由国家赞助的国家，以法国外交部的一名外交官为目标。



  
Symptoms
 

相关样本信息：
	06f1d2be5e981dee056c231d184db908
	6278fc8c7bf14514353797b229d562e8
    e9f51a4e835929e513c3f30299567abc	
	748feae269d561d80563eae551ef7bfd 
	
最小闭合的攻击样本： 
	漏洞利用文件，9fd6f702763a9840bd1b3a898eb9c62d ,size = 153083
    backdoor:1eaf82cbfa67f28d82bf8d215c36d559，size = 158653 
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1(鱼叉式网络钓鱼为主)
	m = 5 (代码注入，特种木马（Emissary，Elise），武器集合，逻辑类漏洞利用，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2+2(N day方式，很早的利用了hacking team组织公开的技术，实现了CVE-2015-5119的利用，利用了cve-2015-0097（https://packetstormsecurity.com/files/cve/CVE-2015-0097 PoC已经被研究员Eduardo Braun Prado公开，但不确定是否是率先使用，
	这里综合以往考虑该组织的攻击能力评估为2+2);
	
	
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 5 + 1) ^ 2 * (1+2+2) ^ 2 +　(153083+158653)/1024 
	   = 10^2 * (5^2)+ 304
	   = 2500  + 304
	   = 2804

	  ==>2804*1000/613623(1T攻击力单位) = 2.191T
				
参考引用：
1.https://www.paloaltonetworks.com/resources/research/unit42-operation-lotus-blossom.html
2.https://researchcenter.paloaltonetworks.com/2015/12/attack-on-french-diplomat-linked-to-operation-lotus-blossom/
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt