APT1:攻击行动评估
                - By nEINEI

Time：2013-02-19	

				
1) 该组织被定义为进行军事，经济和外交等方面的定向攻击组织。
2) 熟练的使用钓鱼攻击作为入侵手段，但组织自身并没看到存储0day漏洞的情况。 

Symptoms
	 

相关样本信息：
	d7aa32b7465f55c368230bb52d52d885
	c1393e77773a48b1eea117a302138554 
	
最小闭合的攻击样本：

根据APT1报告，该组织总共有两大种类的后门文件，
据点后门：检索文件，搜集信息，触发特定功能，被识别为comment crew.
标准后门：包含上传，下载，截屏幕，按键捕获，远程shell等。

c1393e77773a48b1eea117a302138554，size = 25203
 
标准后门未有相关样本记录，根据功能预估在~100K大小
 
				
攻击能力计算： 
	该组织使用技术，及样本范围非常广泛，故采用平均的能力作为评估的技术考虑点。
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 2 (鱼叉式网络钓鱼，其他入侵类方式)
	m = 6 (代码注入，特种木马，特定目标感染，范围极广的间谍功能，武器集合，横移渗透)
	p = 1 (攻击1种平台)
	x = 2 (未发现使用0day，N day漏洞的依据，APT1报告的描述，但如此广泛的攻击能力也绝不会是特别普通的攻击手法，
	需要结合一些入侵的手段来达到目的，故此处评估值为2);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 2 + 6 + 1) ^ 2 * (1 + 2) ^ 2 +　(25203/1024 + 100)
	   = 12^2 * (3^2)+ 125
	   = 1296 + 125
	   = 1421

	  ==> 1421 *1000/ 1279625(1T攻击力单位) = 1.110T
				
参考引用：
1.http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
2.http://jeffreycarr.blogspot.com/2013/02/mandiant-apt1-report-has-critical.html
3.http://www.businessinsider.com/mandiant-china-report-questioned-2013-2
4.https://jeffreycarr.blogspot.com/2013/02/mandiant-apt1-report-has-critical.html
5.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt