Gauss:高斯攻击行动评估
                - By nEINEI

Time：2012-08-09

				
1) 间谍软件尽可能的搜集被感染系统的信息，窃取各种银行系统和社交网络，电子邮件和IM帐户的凭据。感染的主要地区是黎巴嫩，同时也拦截
拦截与几家黎巴嫩银行合作所需数据的命令 - 例如，贝鲁特银行，比布鲁斯银行和Fransabank。	

2）利用0day漏洞进行加载木马远控程序的安装。

3) 高度模块化的系统，类似Flame的架构，但比起火焰更加精密难于破解。


 

Symptoms
	 

相关样本信息：
	C3B8AD4ECA93114947C777B19D3C6059 
	08D7DDB11E16B86544E0C3E677A60E10 
	055AE6B8070DF0B3521D78E1B8D2FCE4 
	FA54A8D31E1434539FBB9A412F4D32FF 
	01567CA73862056304BB87CBF797B899 
	23D956C297C67D94F591FCB574D9325F
	ED5559B0C554055380D75C1D7F9C4424 
	E379270F53BA148D333134011AA3600C 
	EF83394D9600F6D2808E0E99B5F932CA
					
最小闭合的攻击样本：

dropper 程序06969dfbdd9dfce335bb22383cf1ab8da5abeba6106776133ec0d1eac4e591a3，size = 236544
Dskapi.ocx：ED5559B0C554055380D75C1D7F9C4424 size = 1327104，感染U盘部分
winshell.OCX:EF6451FDE3751F698B49C8D4975A Size = 405504，
				
攻击能力计算： 
	K = 3 (超出安全认知范围)
	a = 3 (无交互)
	s = 1 (U盘感染，网络传播)
	m = 8 (代码注入，安装隐蔽的未知功能，范围极广的间谍功能，高强度破解难度，特殊持久化隐藏，高难度&复杂技术实现，特定目标感染，被发现已有三年以上隐藏时间)
	p = 1 (攻击1种平台)
	x = 5 (攻击组织独享，CVE-2010-2568，同样gauss可能早于2010年使用该漏洞进行攻击间谍行为)

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
    AT = (3 + 1 + 8 + 1) ^ 3 * (1 + 5) ^ 2 +　(236544+1327104+405504)/1024
	   = 13^3 * (6^2)+ 1923
	   = 79092+1923
	   = 81015

	  ==> 81015 *1000/1279625(1T攻击力单位) = 63.311T
				
参考引用：
1.https://securelist.com/gauss-abnormal-distribution/36620/
2.https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/20134940/kaspersky-lab-gauss.pdf
3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt