Patchwork APT:攻击行动评估 - By nEINEI Time:2016-07-07 1) 该组织通常也被称为“Dropping Elephant”(白象)/HangOver/VICEROY TIGER,通常被认为是印度APT黑客组织,主要针对的是比较机密的数据而不是为了获利, Patchwork组织的目标多是政府或与政府有间接联系的机构,但随后,该组织扩大目标范围,将更多行业企业作为攻击目标,通信行业,广播行业,能源行业,金融行业,NGO等。 2) 攻击目标遍布世界各地,尽管超过半数的攻击仍集中在美国,但巴基斯坦,中国、日本、东南亚、英国和土耳其同样受到该组织的攻击。 3) 早期该组织的工具多来自网络共享或是摘取自其它安全方面公开的技术资料,没有太多的自有开发的工具,后期开始专注使用N day漏洞的利用来扩大感染范围。 Symptoms 相关样本信息: 734E552FE9FFD1FFDEA3434C62DD2E4B 9A20F6F4CDDEABC97ED46AEE05AC7A50 CE00250552A1F913849E27851BC7CF0A F37DD92EF4D0B7D07A4FBDCD9329D33B E92F739FE39E22002FE3A824084DD95B 68E8AD38E9E61504A46DEAE00EC7C141 最小闭合的攻击样本: 漏洞利用的母体文件:0686fc7b00844427c338a4e78331e8c71e796c0539b717c10f7ae104344ea542,size = 112400 dropper :0d466e84b10d61031a62affcfff6e31a size = 159744 攻击能力计算: K = 2 (超出正常安全认知范围) a = 3 (无交互) s = 1 (鱼叉式网络钓鱼为主) m = 5 (代码注入,改写自开源软件,横移渗透,武器集合,特定目标感染) p = 2 (攻击2种平台,windows/mac) x = 4+2(对于0day漏洞CVE-2013-3906的利用表明并不是Patchwork所独有故给4,同时也使用N day漏洞攻击); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 5 + 2) ^ 2 * (1+4+2) ^ 2 + (112400+159744)/1024 = 11^2 * (7^2)+ 265 = 5929+634 = 6563 ==> 6563*1000/1279625(1T攻击力单位) = 3.794T 参考引用: 1.http://blogs.norman.com/2013/security-research/the-hangover-report 2.https://www.welivesecurity.com/2013/06/05/operation-hangover-more-links-to-the-oslo-freedom-forum-incident/ 3.https://www.symantec.com/connect/blogs/operation-hangover-qa-attacks 4.https://s3-us-west-2.amazonaws.com/cymmetria-blog/public/Unveiling_Patchwork.pdf 5.https://www.fireeye.com/blog/threat-research/2013/11/exploit-proliferation-additional-threat-groups-acquire-cve-2013-3906.html 6.http://www.antiy.com/response/WhiteElephant/WhiteElephant.html 5.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt