Transparent Tribe:攻击行动评估
                - By nEINEI

Time：2016-03-01	

1) 这是针对针对印度外交和军事利益的网络攻击行动。 
2) 开始是通过发送给印度驻沙特阿拉伯和哈萨克斯坦大使馆钓鱼邮件攻击，目前似乎是针对印度军事人员的水坑攻击。

 
Symptoms
 

相关样本信息： 
	4a0728a48c393a480dc328c0e972d57c5493ee5619699e9c21ff7e800948c8e8
	839569f031a2cb6e9ae1dc797b1bd7cce53d3528c8b5fbec21cecb0de3f5ac88
	0e93b58193fe8ff8b84d543b535f313c
	07e44ffcffde46ad96eb9c018bed6193
	62d254790834f30a79ee79305d9be837 
	dd0fc222852f5d12fda2fb66e61b22f6
	
最小闭合的攻击样本：
    漏洞利用文档，3966f669a6af4278869b9cce0f2d9279 ,size =  222198
    dropper :6a69cd7a2cb993994fccec7b7e99c5daa5ec8083ba887142cb0242031d7d4966 size = 53248
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼为主)
	m = 4 (代码注入，特种木马,武器集合，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2 (N day漏洞利用,cve-2012-0158);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1+2) ^ 2 +　(222198+53248)/1024 
	   = 9^2 * (3^2)+ 269
	   = 729+269
	   = 998

	  ==> 998*1000/1279625(1T攻击力单位) = 0.779T
				
参考引用：
1.https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-Tribe
2.https://www.proofpoint.com/sites/default/files/proofpoint-operation-transparent-tribe-threat-insight-en.pdf
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt