Dark Seoul(Operation Troy):攻击行动评估 - By nEINEI Time:2013-03-20 1) 定向针对韩国进行的网络攻击。这次网络攻击擦除了数万台计算机的硬盘。 2) 恶意软件破了,韩国KBS电视台,共6家企业及金融机构的系统,ATM机,信息卡服务。在受害组织的系统中传播,磁盘MBR被擦除, 相关分析表明该组织试图刺探和破坏韩国军方和政府的活动,旨在提取机密信息。 Symptoms 相关样本信息: db4bbdc36a78a8807ad9b15a562515c4 5fcd6e1dace6b0599429d913850f0364 f0e045210e3258dad91d7b6b4d64e7f3 最小闭合的攻击样本: MBR Wiper :db4bbdc36a78a8807ad9b15a562515c4,size = 24576 drooper d1c27ee7ce18675974edf42d4eea25c6 :size = 268579 rat e904bf93403c0fb08b9683a9e858c73e :size = 91888 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (鱼叉式网络钓鱼,水坑攻击) m = 5 (代码注入,特种木马,加密网络,特定目标感染,恶意破坏) p = 1 (攻击1种平台) x = 5 (早在09年时,曾使用过0day 攻击,但已经不可追溯); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 5 + 1) ^ 2 * (1 + 5) ^ 2 + (24576+268579+91888)/1024 = 100^2 * (6^2)+ 376 = 3600+ 376 = 3976 ==> 3976*1000/1279625(1T攻击力单位) = 3.107T 参考引用: 1.https://www.mcafee.com/enterprise/en-us/assets/white-papers/wp-dissecting-operation-troy.pdf 2.https://github.com/kbandla/APTnotes/issues/260 3.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt