Platinum APT:攻击行动评估
                - By nEINEI

Time：2016-04-12	

1) Platinum组织的攻击目标是政府机构特别是东南亚地区的，马拉西亚，印度，中国等。

2) Platinum是迄今为止已被发现的技术水平最高的黑客组织之一，其中利用热补丁机制实现恶意软件安装及英特尔主动管理技术（AMT）的Serial-over-LAN（SOL）通道进行通信。
该通道独立于操作系统工作，使得通过该通道的任何通信对在主机设备上运行的防火墙和网络监控程序都不可见。
 
 
Symptoms
	 

相关样本信息： 
e9f900b5d01320ccd4990fd322a459d709d43e4b 
9a4e82ba371cd2fedea0b889c879daee7a01e1b1 
92a3ece981bb5e0a3ee4277f08236c1d38b54053  
0bc08dca86bd95f43ccc78ef4b27d81f28b4b769  
f4af574124e9020ef3d0a7be9f1e42c2261e97e6
	
最小闭合的攻击样本：
    漏洞利用的母体文件：fde37e60cc4be73dada0fb1ad3d5f273，size = 161280 
    backdoor :739daf91938f4bdab973c5ef519d6543 size = 488448  
				
攻击能力计算： 
	 
	K = 3 (超出正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼为主和水坑攻击)
	m = 8 (代码注入，特种木马,高难度/复杂技术实现，加密网络，高强度破解难度 ，特定目标感染，特殊持久化隐藏，针对特定文件/设备的利用) 
	p = 1 (攻击1种平台，windows)
	x = 5+5+8(0day漏洞利用能力，包含独立发现及其他共享漏洞CVE-2013-7331，CVE-2013-1331，CVE-2015-2545，CVE-2015-2546，完全属于apt组织的独有的破解高难度目标的利用技术，这里给予一次攻击使用2个0day+利用intel AMT的独立信道通信技术8);
	
	
	
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 8 + 1) ^ 3 * (1+5+5+8) ^ 2 +　(161280+488448)/1024 
	   = 13^3 * (19^2)+ 634
	   = 793117+634
	   = 793751

	  ==> 793751*1000/1279625(1T攻击力单位) = 620.299T
				
参考引用：
1.http://download.microsoft.com/download/2/2/5/225BFE3E-E1DE-4F5B-A77B-71200928D209/Platinum%20feature%20article%20-%20Targeted%20attacks%20in%20South%20and%20Southeast%20Asia%20April%202016.pdf
2.https://cloudblogs.microsoft.com/microsoftsecure/2016/04/26/digging-deep-for-platinum/?source=mmpc
3.https://www.blackhat.com/docs/us-17/thursday/us-17-Evdokimov-Intel-AMT-Stealth-Breakthrough-wp.pdf
4.https://www.scmagazineuk.com/platinum-hackers-exploit-intel-amt-sol-secure-c-c-communications/article/1474541
5.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt