Animal Farm:攻击行动评估 - By nEINEI Time:2015-03-06 1) Animal Farm对广泛的全球组织进行攻击,包括,政府组织,军事承包商,人道主义援助组织,私人公司,记者和媒体组织,活动家。 2) 该组织具有非常丰富的0day漏洞利用能力,同时也具有特指多种复杂间谍软件的能力,包括Bunny,Babar,NBot,Tafacalou,Casper,Dino。 Symptoms 相关样本信息: BF551FBDCF5A982705C01094436883A6AD3B75BD 7F266A5E959BEF9798A08E791E22DF4E1DEA9ED5 c6a182f410b4cda0665cd792f00177c56338018fbc31bb34e41b72f8195c20cc 7d1e5c4afb1682087d86e793b3fc5a8371dc7c28e27e7196e3b258934f6bafb5 7bfc135194d3e5b85cbe46ed1c6f5e21dbe8f62c0a3ef56245b2d6500fc3a618 be14d781b85125a6074724964622ab05f89f41e6bacbda398bc7709d1d98a2ef 最小闭合的攻击样本: 母体文件缺失,早期的钓鱼邮件或是包含的swf的漏洞利用程序。 dropper:c6a182f410b4cda0665cd792f00177c56338018fbc31bb34e41b72f8195c20cc,size = 966144 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (鱼叉式网络钓鱼,水坑攻击) m = 5 (代码注入,特种木马,范围极广的间谍功能,武器集合,特定目标感染) p = 1 (攻击1种平台,windows) x = 5+5 (0day漏洞应用在CVE-2014-0515,研究表明Animal Farm至少使用了过2个以上0day漏洞进行攻击); 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 5 + 1) ^ 2 * (1+5+5) ^ 2 + (966144)/1024 = 10^2 * (11^2)+ 943 = 12100+ 943 = 13043 ==> 13043*1000/1279625(1T攻击力单位) = 10.19T 参考引用: 1.https://www.welivesecurity.com/2015/03/05/casper-malware-babar-bunny-another-espionage-cartoon/ 2.https://securelist.com/new-flash-player-0-day-cve-2014-0515-used-in-watering-hole-attacks/59399/ 3.https://securelist.com/animals-in-the-apt-farm/69114/ 4.https://www.securityweek.com/reconnaissance-tool-linked-french-intelligence-malware-babar 5.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt