OlympicDestroyer:攻击行动评估
                - By nEINEI

Time：2018-03-08	

1) 该组织针对韩国平昌举行的冬季奥运会的基础设施进行网络攻击。
 
2) 这场网络攻击在官方开幕仪式之前暂时使IT系统陷入瘫痪，关闭显示器，停止Wi-Fi，并取消奥运会网站以使访客无法打印票。 

 
Symptoms
	 

相关样本信息： 
	221C6DB5B60049E3F1CDBB6212BE7F41 
	3514205D697005884B3564197A6E4A34 
	3C0D740347B0362331C882C2DEE96DBF 
	47E67D1C9382D62370A0D71FECC5368B 
	4C8FA3731EFD2C5097E903D50079A44D 
	4F43F03783F9789F804DCF9B9474FA6D 
	51545ABCF4F196095ED102B0D08DEA7E 
	52775F24E230C96EA5697BCA79C72C8E 
	567D379B87A54750914D2F0F6C3B6571 		

最小闭合的攻击样本：
	包含宏的恶意文档：5ba7ec869c7157efc1e52f5157705867，size = 84480 ，6b728d2966194968d12c56f8e3691855 size = 394752   
	backdoor:104ECBC2746702FA6ECD4562A867E7FB ,size = 1861632 
	
	a = 2 ，c = 最小闭合文件大小／1024 * 6 = ((84480+394752)/2 + 1861632)/1024*6 = 342
 
	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 2 (有交互)
	s = 1 (鱼叉式钓鱼攻击)
	m = 6 (代码注入，特种木马，横移渗透，恶意破坏，伪造特性，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 0 (无)
	 

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (2 + 1 + 6 + 1) ^ 2 * (1+0) ^ 2 +　342
	   = 10^2 * (1^2)+ 703
	   = 100+342
	   = 442

	  ==>442*1000/1279625(1T攻击力单位) = 0.345T
				
参考引用：
1.https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt