Naikon APT:攻击行动评估 - By nEINEI Time:2015-05-14 1) 亚洲最活跃的APT之一,特别是在中国南海附近地缘政治的相关国家作为攻击对象,自2010年以来南海周围发生的令人难以置信的攻击活动量。 2) 至少五年的高产量,高调的地缘政治攻击活动,包括,地理重点-每个国家,个体运营商分配和代理存在动态。 3) 包括功能齐全的后门程序,工具产品平台和漏洞利用程序构建器,尤其在东盟国家的渗透成功率很高。 Symptoms Filenames: %systemroot%\system32\irmon32.dll %systemroot%\system32\FastUserSwitchingCompatibilityex.dll %systemroot%\system32\inetinfo32.dll %systemroot%\system32\drivers\drivers\diskfilter.sys %systemroot%\system32\usbcon.exe %windir%\temp\xKat.exe %systemroot%\system32\drivers\drivers\usbmgr.sys %appdata%\Microsoft\MMC\mmc.exe %systemroot%\system32\Iasex.dll %systemroot%\system32\Ipripex.dll %windir%\temp\mm_server.exe %windir%\temp\sys.exe %windir%\temp\test.exe 相关样本信息: d085ba82824c1e61e93e113a705b8e9a b4a8dc9eb26e727eafb6c8477963829c 172fd9cce78de38d8cbcad605e3d6675 93e84075bef7a11832d9c5aa70135dc6 最小闭合的攻击样本: 母体文件缺失,早期的钓鱼邮件,或者直接发送伪装的木马程序,预估计100k Trojan:d74a7e7a4de0da503472f1f051b68745 size = 190464 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1(鱼叉式网络钓鱼) m = 3 (代码注入,特种木马,特定目标感染) p = 1 (攻击1种平台,windows) x = 2 (N day漏洞的改造并应用,例如CVE-2012-0158); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 3 + 1) ^ 2 * (1+2) ^ 2 + (190464)/1024 +100 = 8^2 * (3^2)+ 286 = 576+ 286 = 862 ==>862*1000/1279625(1T攻击力单位) = 0.673T 参考引用: 1.https://securelist.com/the-naikon-apt/69953/ 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt