DustySky APT:攻击行动评估
                - By nEINEI

Time：2016-01-07	

1) 该组织(也被称作Gaza hackgroup)在2012年首次被发现，他们改进并开发了一些定制的恶意软件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。

2) 而该组织最近一次行动OperationDustSky是在2016年初进行的，其攻击目标主要是以色列、埃及、沙特阿拉伯以及伊拉克，方法是一般是鱼叉
式网络钓鱼活动，还有使用.NET环境下的恶意软件程序DustSky进行网络攻击。

3) DustySky也时常在该VPS提供商的主机上部署鱼叉钓鱼攻击邮件所需要的C&C服务器。
 
  
Symptoms
 

相关样本信息：
	0756357497c2cd7f41ed6a6d4403b395
	84e5bb2e2a27e1dcb1857459f80ac920
	18ef043437a8817e94808aee887ade5c
	3227cc9462ffdc5fa27ae75a62d6d0d9
	fcecf4dc05d57c8ae356ab6cdaac88c2
	9c60fadece6ea770e2c1814ac4b3ae74
	

	
最小闭合的攻击样本：
    漏洞文件：eea2e86f06400f29a2eb0c40b5fc89a6，size = 299631 
    dropper:0b79a8b4c88c3e7dc278c34718884e17c92744338feffe84776710d957ac0893 size = 253440  
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1(鱼叉式网络钓鱼为主)
	m = 4 (代码注入，特种木马，武器集合，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 4(伪造签名证书);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1+4) ^ 2 +　(299631+253440)/1024 
	   = 9^2 * (5^2)+ 540
	   = 2025+540
	   = 2565

	  ==> 2565*1000/1279625(1T攻击力单位) = 2.004T
				
参考引用：
1.https://www.clearskysec.com/wp-content/uploads/2016/01/Operation%20DustySky_TLP_WHITE.pdf
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt