Icefog APT:攻击行动评估
                - By nEINEI

Time：2014-01-14	 
				
1) Icefog 2011年开始活跃起来，主要活跃在日本和韩国。已知的目标包括政府机构，军队，海上组织，电信部门，制造业和高科技公司和大众媒体.
2) 主要通过钓鱼攻击来安装恶意工具和后门。

Symptoms 

 
相关样本信息：
	5f1344d8375b449f77d4d8ecfcdeda9a
	120f9ed8431a24c14b60003260930c37
	9de808b3147ec72468a5aec4b2c38c20
	d544a65f0148e59ceca38c579533d040
最小闭合的攻击样本：
 
 漏洞文件：b8bed65865ddecbd22efff0970b97321, size = 307388 
 rat 120f9ed8431a24c14b60003260930c37 ，size = 78848 
				
攻击能力计算： 
	
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼)
	m = 4 (代码注入，特定文件的利用，特种木马，特定目标感染)
	p = 1 (攻击1种平台)
	x = 2 ( N day 漏洞 CVE-2012-1856,CVE-2012-0158，CVE-2013-0422 and CVE-2012-1723 );
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1+2) ^ 2 +　(307388+78848)/1024  
	   = 9^2 * (3^2)+ 377
	   = 729+ 377
	   = 1106

	  ==> 1106*1000/1279625(1T攻击力单位) = 0.864T
				
参考引用：
1.https://media.kaspersky.com/en/icefog-apt-threat.pdf
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt