Gaza Cybergang:攻击行动评估 - By nEINEI Time:2017-11-07 1) 该组织一直在针对南美和东南亚的组织进行高度针对性的网络攻击,并且似乎主要关注外交政策机构和外交目标。 2) 迄今为止,Sowbug除了南美和东南亚的政府实体,并渗透到阿根廷,巴西,厄瓜多尔,秘鲁,文莱和马来西亚的组织。 该小组资源充足,能够同时渗透多个目标,并且通常在目标组织的工作时间之外运行,以保持低调。 Symptoms 相关样本信息: 514f85ebb05cad9e004eee89dde2ed07 00d356a7cf9f67dd5bb8b2a88e289bc8 c1f65ddabcc1f23d9ba1600789eb581b 最小闭合的攻击样本: 最初的感染方式暂未发现,预估100k loader:4984e9e1a5d595c079cc490a22d67490,size = 82432 rat:967d60c417d70a02030938a2ee8a0b74 , size = 34304 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (尚不清楚最初的感染向量,证据表明入侵服务器的可能性更大些,或者通过虚假软件分发) m = 3 (代码注入,特种木马,特定目标感染) p = 1 (攻击1种平台,windows) x = 2 (web方式入侵) 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 3 + 1) ^ 2 * (1+2) ^ 2 + (82432+34304)/1024 +100 = 8^2 * (3^2)+ 214 = 576+214 = 790 ==>790*1000/1279625(1T攻击力单位) = 0.617T 参考引用: 1.https://www.symantec.com/connect/blogs/sowbug-cyber-espionage-group-targets-south-american-and-southeast-asian-governments 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt