Wild-Neutron:攻击行动评估
                - By nEINEI

Time：2015-07-08	

1) “Wild Neutron”（也称为“Jripbot”和“ Morpho ”）自2011年以来一直活跃，通过使用漏洞，水坑攻击和多平台的组合感染众多知名IT公司的恶意软件。

2) 在2013年成功地感染了苹果，Facebook，Twitter和微软等公司，成为人们关注的焦点，目前感染的国家包括，法国，俄国，瑞士，德国，奥地利，巴勒斯坦等。 

  
Symptoms
 

相关样本信息：
	3719dd2b44b793c2e80a23586582f707
	f0fff29391e7c2e7b13eb4a806276a84
	95ffe4ab4b158602917dd2a999a8caf8
	8603a82d7e82b9b892d90f41c27f118d
	556ea94faf2f126b4c3d75cd2a9806dd
	0ec55685affc322a5d7be2e9ca1f9cbf
	 
最小闭合的攻击样本：
    母体文件缺失，早期的可能为钓鱼邮件。预估100k
    backdoor:95ffe4ab4b158602917dd2a999a8caf8 size = 302592  
				
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1(鱼叉式网络钓鱼)
	m = 8 (代码注入，特种木马，高难度/复杂技术实现，横移渗透，武器集合，加密网络，特定目标感染 ，高强度破解难度) 
	p = 2 (攻击2种平台，windows/mac)
	x = 5+4 (包含Java零日攻击CVE-2012-3213，flash 0day漏洞，伪造签名);
	

	攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 8 + 2) ^ 2 * (1+5+4) ^ 2 +　(302592)/1024 +100
	   = 14^2 * (10^2)+ 395
	   = 19600 + 395
	   = 19995

	  ==> 19995 *1000/1279625(1T攻击力单位) = 15.625T
				
参考引用：
1.https://securelist.com/wild-neutron-economic-espionage-threat-actor-returns-with-new-tricks/71275/
2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt