Red October APT:攻击行动评估
                - By nEINEI

Time：2013-01-18	

				
1) 该恶意软件对不同国家的外交，政府和科学研究组织的一系列针对性攻击，主要针对东欧,前苏联成员和中亚国家以及西欧和北美的特定组织,进行高级别的网络间谍
信息窃取行动。
2) 熟练的使用漏洞作为攻击手段，但组织自身并没看到存储0day漏洞的情况。 

Symptoms
	 

相关样本信息：
	114ed0e5298149fc69f6e41566e3717a 
	1f86299628bed519718478739b0e4b0c 
	2672fbba23bf4f5e139b10cacc837e9f 
	350c170870e42dce1715a188ca20d73b 
	396d9e339c1fd2e787d885a688d5c646 
	3ded9a0dd566215f04e05340ccf20e0c 
	44e70bce66cdac5dc06d5c0d6780ba45 
	4bfa449f1a351210d3c5b03ac2bd18b1 
	4ce5fd18b1d3f551a098bb26d8347ffb
	
最小闭合的攻击样本：

51EDEA56C1E83BCBC9F873168E2370AF，size = 1188473
				
攻击能力计算： 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式网络钓鱼)
	m = 6 (代码注入，特种木马，范围极广的间谍功能，横移渗透，特定目标感染，武器集合)
	p = 1 (攻击1种平台)
	x = 2 (使用了N day漏洞，CVE-2009-3129（MS Excel），CVE-2010-3333（MS Word）和CVE-2012-0158（MS Word）);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 6 + 1) ^ 2 * (1 + 2) ^ 2 +　(1188473/1024)
	   = 11^2 * (3^2)+ 1160
	   = 1089 + 1160
	   = 2249

	  ==> 2249*1000/1279625(1T攻击力单位) = 1.757T
				
参考引用：
1.http://threatgeek.typepad.com/files/fta-1007---shamoon-1.pdf
2.https://threatpost.com/apt1-themed-spear-phishing-campaign-linked-china-030613/77591/
3.https://securelist.com/shamoon-the-wiper-copycats-at-work/57854/
4.https://contagiodump.blogspot.com/2012/08/shamoon-or-disttracka-samples.html
5.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt